interactive GDPR 2016/0679 LV

1. Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.

2. Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.

3. Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas ir saistošs apstrādātājam un pārzinim un kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:

personas datus apstrādā tikai pēc pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, un šādā gadījumā apstrādātājs par minēto juridisko prasību informē pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ;

b)	nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;

c)	īsteno visus pasākumus, kas nepieciešami saskaņā ar 32. pantu;

d)	ievēro 2. un 4. punktā minētos nosacījumus, saskaņā ar kuriem tiek piesaistīts cits apstrādātājs;

e)	ciktāl tas ir iespējams ņemot vērā apstrādes būtību, palīdz pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par III nodaļā paredzēto datu subjekta tiesību īstenošanu;

f)	palīdz pārzinim nodrošināt 32. līdz 36. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju;

g)	pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;

h)	pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu.

Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja, viņaprāt, kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus.

4. Ja apstrādātājs ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai pārziņa vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti līgumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, kā minēts 3. punktā, jo īpaši pietiekami garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas šajā regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs paliek pilnībā atbildīgs pārzinim par šā cita apstrādātāja pienākumu izpildi.

5. Apstrādātāja atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. un 4. punktā minētās pietiekamās garantijas.

6. Neskarot atsevišķu līgumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto līgumu vai citu juridisku aktu var pilnībā vai daļēji balstīt uz šā panta 7. un 8. punktā minētajām līguma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurš pārzinim vai apstrādātājam piešķirts saskaņā ar 42. un 43. pantu.

7. Komisija var izstrādāt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

8. Uzraudzības iestāde var pieņemt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar konsekvences mehānismu, kas minēts 63. pantā.

9. Šā panta 3. un 4. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski.

10. Neskarot 82., 83. un 84. pantu – ja apstrādātājs pārkāpj šo regulu, nosakot apstrādes nolūkus un līdzekļus, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

30. pants

Apstrādes darbību reģistrēšana

1. Katrs pārzinis un attiecīgā gadījumā pārziņa pārstāvis reģistrē tā pakļautībā veiktās apstrādes darbības. Minētajā reģistrā ietver visu šādu informāciju:

a)	pārziņa un attiecīgā gadījumā visu kopīgo pārziņu, pārziņa pārstāvja un datu aizsardzības speciālista, vārds un uzvārds vai nosaukums un kontaktinformācija;

b)	apstrādes nolūki;

c)	datu subjektu kategoriju un personas datu kategoriju apraksts;

d)	to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas;

e)	attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atbilstošo garantiju dokumentācija;

f)	ja iespējams, paredzētie termiņi dažādu kategoriju datu dzēšanai;

g)	ja iespējams, 32. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

2. Katrs apstrādātājs un attiecīgā gadījumā apstrādātāja pārstāvis uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:

apstrādātāja vai apstrādātāju vārdi un uzvārdi vai nosaukumi un kontaktinformācija un katra tā pārziņa vārds un uzvārds vai nosaukums un kontaktinformācija, kura vārdā apstrādātājs darbojas, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvja un datu aizsardzības speciālista vārds un uzvārds un kontaktinformācija;

b)	katra pārziņa vārdā veiktās apstrādes kategorijas;

c)	attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atbilstošo garantiju dokumentācija;

d)	ja iespējams, 32. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

3. Šā panta 1. un 2. punktā minēto reģistrēšanu veic rakstiski, tostarp elektroniskā formātā.

4. Pārzinis vai apstrādātājs, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma nodrošina reģistra pieejamību uzraudzības iestādei.

5. Pienākumus, kas minēti 1. un 2. punktā, nepiemēro uzņēmumam vai organizācijai, kas nodarbina mazāk nekā 250 personas, izņemot, ja uzņēmuma vai struktūras veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, apstrāde nav neregulāra vai apstrāde ietver īpašas datu kategorijas, kas minētas 9. panta 1. punktā, vai personas datus par sodāmību un pārkāpumiem, kas minēti 10. pantā.

35. pants

Novērtējums par ietekmi uz datu aizsardzību

1. Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski.

2. Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzību, lūdz padomu no datu aizsardzības speciālista, ja tāds ir iecelts.

3. Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzību jo īpaši ir vajadzīgs šādos gadījumos:

a)	ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu;

b)	9. panta 1. punktā minēto īpašo kategoriju datu vai 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrāde plašā mērogā; vai

c)	publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā.

4. Uzraudzības iestāde izstrādā un publisko sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību saskaņā ar 1. punktu. Uzraudzības iestāde minētos sarakstus iesniedz 68. pantā minētajai kolēģijai.

5. Uzraudzības iestāde var izstrādāt un publiskot arī sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību. Uzraudzības iestāde minētos sarakstus iesniedz kolēģijai.

6. Ja 4. un 5. punktā paredzētais saraksts ietver apstrādes darbības, kas ir saistītas ar preču vai pakalpojumu sniegšanu datu subjektiem vai ar viņu uzvedības novērošanu vairākās dalībvalstīs, vai kas var būtiski ietekmēt personas datu brīvu apriti Savienībā, kompetentā uzraudzības iestāde pirms minētā saraksta pieņemšanas piemēro 63. pantā paredzēto konsekvences mehānismu.

7. Novērtējumā ietver vismaz:

a)	plānoto apstrādes darbību un apstrādes nolūku, tostarp attiecīgā gadījumā pārziņa leģitīmo interešu sistemātisku aprakstu;

b)	novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem;

c)	novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesībām un brīvībām; un

d)	pasākumus, kas paredzēti risku novēršanai, tostarp garantijas, drošības pasākumus un mehānismus, ar ko nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

8. Attiecīgo pārziņu vai apstrādātāju atbilstību 40. pantā minētajam rīcības kodeksam pienācīgi ņem vērā, novērtējot šādu pārziņu vai apstrādātāju veikto apstrādes darbību ietekmi, jo īpaši saistībā ar novērtējumu par ietekmi uz datu aizsardzību.

9. Attiecīgā gadījumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot komerciālu vai sabiedrības interešu aizsardzību vai apstrādes darbību drošību.

10. Ja saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu veiktās apstrādes juridiskais pamats ir noteikts Savienības tiesību aktos vai tās dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim, un minētie tiesību akti reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un novērtējums par ietekmi uz datu aizsardzību jau ir veikts kā daļa no vispārējā ietekmes novērtējuma saistībā ar minētā juridiskā pamata pieņemšanu, šā panta 1.–7. punktu nepiemēro, izņemot, ja dalībvalstis uzskata, ka pirms apstrādes darbībām ir jāveic šāds novērtējums.

11. Ja vajadzīgs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzību, vismaz tad, ja ir izmaiņas attiecībā uz apstrādes darbību radīto risku.

40. pants

Rīcības kodeksi

1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu šīs regulas atbilstīgu piemērošanu, ņemot vērā dažādo apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2. Apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var izstrādāt rīcības kodeksus vai tos grozīt vai papildināt, lai precīzi noteiktu, kā piemērojama šī regula, piemēram, attiecībā uz:

a)	godprātīgu un pārredzamu apstrādi;

b)	pārziņu leģitīmajām interesēm konkrētos gadījumos;

c)	personas datu vākšanu;

d)	personas datu pseidonimizāciju;

e)	informāciju, ko sniedz sabiedrībai un datu subjektiem;

f)	datu subjektu tiesību īstenošanu;

g)	informāciju, ko sniedz bērniem un bērnu aizsardzību un to, kādā veidā iegūstama tās personas piekrišana, kurai ir vecāku atbildība par bērniem;

h)	pasākumiem un procedūrām, kas minēti 24. un 25. pantā, un pasākumiem, ar ko garantē 32. pantā minēto apstrādes drošību;

i)	uzraudzības iestāžu informēšanu par personas datu aizsardzības pārkāpumiem un šādu personas datu pārkāpumu paziņošanu datu subjektiem;

j)	personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām; vai

k)	ārpustiesas procedūrām un citām strīdu risināšanas procedūrām attiecībā uz strīdiem starp pārzini un datu subjektu saistībā ar apstrādi, neskarot datu subjektu tiesības saskaņā ar 77. un 79. pantu.

3. Papildus tam, ka rīcības kodeksus, kas ir apstiprināti atbilstīgi šā panta 5. punktam un vispārēji piemērojami atbilstīgi šā panta 9. punktam, ievēro pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var ievērot arī pārziņi vai apstrādātāji, uz kuriem atbilstīgi 3. pantam šī regula neattiecas, lai nodrošinātu atbilstošas garantijas, ko piemēro personas datu nosūtīšanai uz trešām valstīm vai starptautiskām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta e) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

4. Neskarot to uzraudzības iestāžu uzdevumus un pilnvaras, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, šā panta 2. punktā minētajā rīcības kodeksā ir ietverti mehānismi, kas ļauj 41. panta 1. punktā minētajai struktūrai veikt obligāto pārraudzību par to, kā pārziņi vai apstrādātāji, kuri apņemas piemērot attiecīgo kodeksu, ievēro tā noteikumus.

5. Šā panta 2. punktā minētās apvienības un citas struktūras, kas plāno izstrādāt rīcības kodeksu vai grozīt vai papildināt esošu rīcības kodeksu, iesniedz rīcības kodeksa, grozījumu vai papildinājumu projektu uzraudzības iestādei, kura saskaņā ar 55. pantu ir kompetenta. Uzraudzības iestāde sniedz atzinumu par to, vai rīcības kodeksa, grozījumu vai papildinājumu projekts ir saskaņā ar šo regulu, un apstiprina minēto rīcības kodeksa, grozījumu vai papildinājumu projektu, ja tā konstatē, ka tas nodrošina pietiekamas atbilstošas garantijas.

6. Ja rīcības kodeksa, grozījumu vai papildinājumu projekts ir apstiprināts saskaņā ar 5. punktu un ja attiecīgais rīcības kodekss neattiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde reģistrē un publisko kodeksu.

7. Ja rīcības kodeksa projekts attiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde, kura saskaņā ar 55. pantu ir kompetenta, pirms rīcības kodeksa projektu, grozījumu vai papildinājumu apstiprināšanas 63. pantā noteiktajā kārtībā iesniedz kolēģijai, kas sniedz atzinumu par to, vai minētais rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu, vai – gadījumā, kas minēts šā panta 3. punktā – nodrošina atbilstošas garantijas.

8. Ja 7. punktā minētais atzinums apstiprina, ka rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu vai – gadījumā, kas minēts 3. punktā – nodrošina atbilstošas garantijas, kolēģija iesniedz atzinumu Komisijai.

9. Komisija, pieņemot īstenošanas aktus, var nolemt, ka saskaņā ar šā panta 8. punktu iesniegts apstiprināts rīcības kodekss, grozījums vai papildinājums ir vispārēji piemērojami Savienībā. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

10. Komisija nodrošina atbilstīgu publicitāti tiem apstiprinātajiem rīcības kodeksiem, par kuriem saskaņā ar 9. punktu pieņemts lēmums, ka tie ir vispārēji piemērojami.

11. Kolēģija visus apstiprinātos rīcības kodeksus, grozījumus un papildinājumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot piemērotus līdzekļus.

42. pants

Sertifikācija

1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina, jo īpaši Savienības līmenī, izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst šai regulai. Ņem vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2. Papildus tam, ka saskaņā ar šā panta 5. punktu apstiprinātus datu aizsardzības sertifikācijas mehānismus, zīmogus vai marķējumus izmanto pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var izmantot, lai pierādītu, ka pārziņi vai apstrādātāji, uz kuriem, ievērojot 3. pantu, šī regula neattiecas, ir nodrošinājuši atbilstošas garantijas, ko piemēro datu nosūtīšanai uz trešām valstīm vai starptautiskajām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta f) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

3. Sertifikācija ir brīvprātīga un pieejama procesā, kas ir pārredzams.

4. Sertifikācija, ko veic saskaņā ar šo pantu, nemazina pārziņa vai apstrādātāja atbildību attiecībā uz šīs regulas ievērošanu, un tā neskar uzraudzības iestāžu, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, uzdevumus un pilnvaras.

5. Šajā pantā paredzētu sertifikātu izdod 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde, pamatojoties uz kritērijiem, ko – ievērojot 58. panta 3. punktu – apstiprinājusi minētā kompetentā uzraudzības iestāde vai – ievērojot 63. pantu – kolēģija. Ja kritērijus apstiprinājusi kolēģija, var izdot kopīgu sertifikātu – Eiropas datu aizsardzības zīmogu.

6. Pārzinis vai apstrādātājs, kas savas apstrādes darbības pakļauj minētajam sertifikācijas mehānismam, sniedz visu informāciju 43. pantā paredzētajai sertifikācijas struktūrai vai attiecīgā gadījumā kompetentajai uzraudzības iestādei un nodrošina piekļuvi savām apstrādes darbībām, kas vajadzīga, lai veiktu minēto sertifikācijas procedūru.

7. Sertifikātu pārzinim vai apstrādātājam izdod uz laikposmu, kas nepārsniedz trīs gadus, un to var atjaunot ar tādiem pašiem nosacījumiem, ar noteikumu, ka attiecīgās prasības joprojām ir izpildītas. Attiecīgā gadījumā 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde atsauc sertifikātu, ja sertifikācijas prasības nav izpildītas vai vairs netiek pildītas.

8. Kolēģija visus sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot jebkādus piemērotus līdzekļus.

51. pants

Uzraudzības iestāde

1. Katra dalībvalsts paredz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par šīs regulas piemērošanas uzraudzību, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar apstrādi un veicinātu personas datu brīvu apriti Savienībā (“uzraudzības iestāde”).

2. Katra uzraudzības iestāde palīdz nodrošināt šīs regulas konsekventu piemērošanu visā Savienībā. Minētajā nolūkā uzraudzības iestādes sadarbojas cita ar citu un ar Komisiju saskaņā ar VII nodaļu.

3. Ja dalībvalstī ir vairāk nekā viena uzraudzības iestāde, minētā dalībvalsts ieceļ uzraudzības iestādi, kas pārstāv minētās iestādes kolēģijā, un izstrādā mehānismus, kas nodrošina, ka pārējās iestādes ievēro 63. panta noteikumus par konsekvences mehānismu.

4. Līdz 2018. gada 25. maijam katra dalībvalsts paziņo Komisijai noteikumus, ko tā pieņem saskaņā ar šo nodaļu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

58. pants

Pilnvaras

1. Katrai uzraudzības iestādei ir visas šādas izmeklēšanas pilnvaras:

a)	izdot rīkojumu pārzinim un apstrādātājam, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvim sniegt visu informāciju, kas nepieciešama tās uzdevumu veikšanai;

b)	veikt izmeklēšanas, izmantojot datu aizsardzības revīzijas;

c)	veikt pārbaudi tiem sertifikātiem, kas izsniegti saskaņā ar 42. panta 7. punktu;

d)	paziņot pārzinim vai apstrādātājam par aizdomām par šīs regulas iespējamu pārkāpšanu;

e)	iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem un visai informācijai, kas nepieciešama tās uzdevumu veikšanai;

f)	iegūt piekļuvi visām pārziņa un apstrādātāja telpām, tostarp jebkādām datu apstrādes iekārtām un līdzekļiem, saskaņā ar Savienības vai dalībvalsts procesuālajiem tiesību aktiem.

2. Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras:

a)	brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, iespējams, var tikt pārkāpti šīs regulas noteikumi;

b)	izteikt rājienu pārzinim vai apstrādātājam, ja ar apstrādes darbībām ir tikuši pārkāpti šīs regulas noteikumi;

c)	izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības;

d)	izdot rīkojumu pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā;

e)	izdot rīkojumu pārzinim paziņot datu subjektam par personas datu aizsardzības pārkāpumu;

f)	uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu;

g)	izdot rīkojumu par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, ievērojot 16., 17. un 18. pantu, un par šādām darbībām informēt saņēmējus, kuriem personas dati ir izpausti, ievērojot 17. panta 2. punktu un 19. pantu;

h)	atsaukt sertifikātu vai izdot rīkojumu sertifikācijas struktūrai atsaukt sertifikātu, kurš izsniegts, ievērojot 42. un 43. pantu, vai izdot rīkojumu sertifikācijas struktūrai neizsniegt sertifikātu, ja nav izpildītas vai vairs netiek pildītas sertifikācijas prasības;

i)	piemērot administratīvu naudas sodu saskaņā ar 83. pantu, papildinot vai aizstājot šajā punktā minētos pasākumus atkarībā no katras konkrētās lietas apstākļiem;

j)	izdot rīkojumu apturēt datu plūsmu pie saņēmēja trešā valstī vai pie starptautiskas organizācijas.

3. Katrai uzraudzības iestādei ir visas šādas atļauju izsniegšanas un padomdevēja pilnvaras:

a)	konsultēt pārzini saskaņā ar 36. pantā minēto iepriekšējas apspriešanās procedūru;

b)	pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus valsts parlamentam, dalībvalsts valdībai vai – saskaņā ar dalībvalsts tiesību aktiem – citām iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību;

c)	dot atļauju uzsākt apstrādi, kas minēta 36. panta 5. punktā, ja dalībvalsts tiesību aktos ir paredzēta šāda iepriekšēja atļauja;

d)	saskaņā ar 40. panta 5. punktu sniegt atzinumu par rīcības kodeksa projektu un to apstiprināt;

e)	akreditēt sertifikācijas struktūras saskaņā ar 43. pantu;

f)	izsniegt sertifikātus un apstiprināt sertifikācijas kritērijus saskaņā ar 42. panta 5. punktu;

g)	pieņemt standarta datu aizsardzības klauzulas, kas minētas 28. panta 8. punktā un 4. panta 2. punkta d) apakšpunktā;

h)	apstiprināt līguma klauzulas, kas minētas 46. panta 3. punkta a) apakšpunktā;

i)	apstiprināt administratīvās vienošanās, kas minētas 46. panta 3. punkta b) apakšpunktā;

j)	apstiprināt saistošos uzņēmuma noteikumus saskaņā ar 47. pantu.

4. Uzraudzības iestāde saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības un dalībvalstu tiesību aktos saskaņā ar hartu.

5. Katra dalībvalsts ar tiesību aktiem paredz, ka tās uzraudzības iestādei ir pilnvaras pievērst tiesu iestāžu uzmanību šīs regulas pārkāpumiem un vajadzības gadījumā uzsākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu šīs regulas noteikumus.

6. Katra dalībvalsts var ar tiesību aktiem paredzēt, ka tās uzraudzības iestādei ir vēl citas pilnvaras papildus tām, kas minētas 1., 2. un 3. punktā. Minēto pilnvaru īstenošana netraucē VII nodaļas efektīvai darbībai.

83. pants

Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu

1. Katra uzraudzības iestāde nodrošina, ka par 4., 5. un 6. punktā minētajiem šīs regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.

2. Administratīvie naudas sodi atkarībā no katras konkrētās lietas apstākļiem tiek piemēroti, papildinot 58. panta 2. punkta a)–h) apakšpunktā un j) apakšpunktā minētos pasākumus vai šo pasākumu vietā. Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

a)	pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru;

b)	to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ;

c)	jebkādu pārziņa vai apstrādātāja rīcību, lai mazinātu kaitējumu, kas nodarīts datu subjektiem;

d)	pārziņa vai apstrādātāja atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākumiem, ko tie īsteno saskaņā ar 25. un 32. pantu;

e)	jebkādus attiecīgus pārziņa vai apstrādātāja iepriekšējus pārkāpumus;

f)	sadarbības pakāpi ar uzraudzības iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas;

g)	to, kādu kategoriju personas datus ietekmējis pārkāpums;

h)	veidu, kādā par pārkāpumu uzzināja uzraudzības iestāde, jo īpaši to, vai pārzinis vai apstrādātājs ir ziņojis par pārkāpumu, un šādā gadījumā – kādā apjomā;

i)	ja 58. panta 2. punktā minētie pasākumi iepriekš par šo pašu priekšmetu jau ir tikuši vērsti pret attiecīgo pārzini vai apstrādātāju, kā minētie pasākumi ir tikuši pildīti;

j)	apstiprināto rīcības kodeksu ievērošanu saskaņā ar 40. pantu vai apstiprināto sertifikācijas mehānismu ievērošanu saskaņā ar 42. pantu; un

k)	jebkādu citu pastiprinošu vai mīkstinošu apstākli, kas piemērojams lietas apstākļiem, piemēram, no pārkāpuma tieši vai netieši gūti finansiālie labumi vai novērsti zaudējumi.

3. Ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

4. Administratīvus naudas sodus apmērā līdz EUR 10 000 000 vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

a)	pārziņa un apstrādātāja pienākumi saskaņā ar 8., 11., 25.–39., 42. un 43. pantu;

b)	sertifikācijas struktūras pienākumi saskaņā ar 42. un 43. pantu;

c)	pārraudzības struktūras pienākumi saskaņā ar 41. panta 4. punktu.

5. Administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

a)	apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 5., 6., 7. un 9. pantu;

b)	datu subjekta tiesības saskaņā ar 12.–22. pantu;

c)	personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautisku organizāciju saskaņā ar 44.–49. pantu;

d)	visi pienākumi, ievērojot dalībvalsts tiesību aktus, kuri pieņemti saskaņā ar IX nodaļu;

e)	ja nav ievērots uzraudzības iestādes rīkojums vai pagaidu vai galīgs apstrādes vai datu aprites ierobežojums saskaņā ar 58. panta 2. punktu, vai nav sniegta piekļuve, pārkāpjot 58. panta 1. punktu.

6. Saskaņā ar šā panta 2. punktu par 58. panta 2. punktā minētā uzraudzības iestādes rīkojuma neievērošanu piemēro administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.

7. Neskarot 58. panta 2. punktā paredzētās uzraudzības iestāžu korektīvās pilnvaras, katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kas veic uzņēmējdarbību minētajā dalībvalstī.

8. Uzraudzības iestādes pilnvaru veikšanai saskaņā ar šo pantu piemēro atbilstošas procesuālas garantijas saskaņā ar Savienības un dalībvalsts tiesību aktiem, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgu procedūru ievērošanu.

9. Ja dalībvalsts tiesību sistēmā nav paredzēti administratīvi naudas sodi, šo pantu var piemērot tā, ka naudas sodu ierosina kompetentā uzraudzības iestāde, bet uzliek kompetentās valsts tiesas, vienlaikus nodrošinot, ka minētie tiesību aizsardzības līdzekļi ir efektīvi un tiem ir līdzvērtīga iedarbība ar uzraudzības iestāžu uzliktiem administratīviem naudas sodiem. Jebkurā gadījumā uzliktie naudas sodi ir iedarbīgi, samērīgi un atturoši. Līdz 2018. gada 25. maijam minētās dalībvalstis paziņo Komisijai to tiesību aktu noteikumus, ko tās pieņem, ievērojot šo punktu, un nekavējoties paziņo Komisijai par jebkuru turpmāku grozošo aktu vai jebkuriem turpmākiem šo noteikumu grozījumiem.

84. pants

Sankcijas

1. Dalībvalstis paredz noteikumus par citām sankcijām, ko piemēro par šīs regulas pārkāpumiem, jo īpaši pārkāpumiem, par kuriem nav paredzēti administratīvi naudas sodi saskaņā ar 83. pantu, un veic visus nepieciešamos pasākumus, lai nodrošinātu, ka šos noteikumus īsteno. Šādas sankcijas ir iedarbīgas, samērīgas un atturošas.

2. Līdz 2018. gada 25. maijam katra dalībvalsts paziņo Komisijai to tiesību aktu noteikumus, ko tā pieņem, ievērojot 1. punktu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

IX NODAĻA

Noteikumi par īpašām apstrādes situācijām

85. pants

Apstrāde un vārda un informācijas brīvība

1. Dalībvalstis ar tiesību aktiem saglabā līdzsvaru starp tiesībām uz personas datu aizsardzību saskaņā ar šo regulu un tiesībām uz vārda un informācijas brīvību, tostarp apstrādi žurnālistikas vajadzībām un akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām.

2. Apstrādei žurnālistikas vajadzībām vai akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām dalībvalstis paredz izņēmumus vai atkāpes no II nodaļas (Principi), III nodaļas (Datu subjekta tiesības), IV nodaļas (Pārzinis un apstrādātājs), V nodaļas (Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām), VI nodaļas (Neatkarīgas uzraudzības iestādes), VII nodaļas (Sadarbība un konsekvence) un IX nodaļas (Īpašas datu apstrādes situācijas) attiecībā apstrādi, ja tas ir nepieciešams, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un vārda un informācijas brīvību.

3. Katra dalībvalsts paziņo Komisijai to tiesību aktu noteikumus, ko tā pieņēmusi, ievērojot 2. punktu, un nekavējoties paziņo Komisijai par jebkuru turpmāku grozošo aktu jebkuriem turpmākiem šo noteikumu grozījumiem.

88. pants

Apstrāde saistībā ar nodarbinātību

1. Ar tiesību aktiem vai ar koplīgumiem dalībvalstis var paredzēt konkrētākus noteikumus, lai nodrošinātu tiesību un brīvību aizsardzību attiecībā uz darbinieku personas datu apstrādi saistībā ar nodarbinātību, jo īpaši darbā pieņemšanas nolūkos, darba līguma izpildei, ietverot likumā vai koplīgumā paredzētu saistību izpildi, darba vadībai, plānošanai un organizēšanai, vienlīdzībai un daudzveidībai darbavietā, veselībai un drošībai darbavietā, darba devēja vai klienta īpašuma aizsardzībai un individuālu vai kolektīvu ar nodarbinātību saistītu tiesību vai priekšrocību izmantošanas vai baudīšanas nolūkos un darba attiecību izbeigšanas nolūkos.

2. Minētie noteikumi ietver piemērotus un konkrētus pasākumus nolūkā aizsargāt datu subjekta cilvēka cieņu, leģitīmas intereses un pamattiesības, jo īpaši attiecībā uz apstrādes pārredzamību, personas datu nosūtīšanu uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, ietvaros un uzraudzības sistēmām darba vietā.

3. Katra dalībvalsts līdz 2018. gada 25. maijam paziņo Komisijai to tiesību aktu noteikumus, ko tā pieņem, ievērojot 1. punktu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

90. pants

Pienākumi ievērot slepenību

1. Dalībvalstis var pieņemt īpašus noteikumus, kuri paredz uzraudzības iestāžu pilnvaras, kas minētas 58. panta 1. punkta e) un f) apakšpunktā, attiecībā uz pārziņiem vai apstrādātājiem, uz kuriem saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma glabāšanas pienākums vai citi līdzvērtīgi pienākumi ievērot slepenību, ja tas ir nepieciešami un samērīgi, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un pienākumu ievērot slepenību. Minētos noteikumus piemēro tikai tiem personas datiem, ko pārzinis vai apstrādātājs saņēmis vai ieguvis tādas darbības rezultātā, uz kuru attiecas minētais pienākums ievērot slepenību, vai ieguvis tādas darbības laikā.

2. Katra dalībvalsts līdz 2018. gada 25. maijam paziņo Komisijai par noteikumiem, ko tā pieņēmusi, ievērojot 1. punktu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

95. pants

Saistība ar Direktīvu 2002/58/EK

Šī regula neuzliek papildu pienākumus fiziskām vai juridiskām personām attiecībā uz apstrādi saistībā ar publiski pieejamu elektronisko komunikāciju pakalpojumu sniegšanu publiskos komunikāciju tīklos Savienībā jautājumos, saistībā ar kuriem tām ir piemērojami Direktīvas 2002/58/EK īpašie noteikumi ar to pašu mērķi.

whereas

(10) Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam.
Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un pamtbrīvību aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana.
Attiecībā uz personas datu apstrādi, kuru veic, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras, būtu jāļauj dalībvalstīm saglabāt vai ieviest valsts noteikumus, ar ko vēl vairāk precizē šīs regulas noteikumu piemērošanu.
Saistībā ar vispārējiem un horizontāliem tiesību aktiem par datu aizsardzību, ar kuriem īsteno Direktīvu 95/46/EK, dalībvalstīm ir vairāki uz konkrētām nozarēm attiecināmi tiesību akti jomās, kurās ir vajadzīgi precīzāki noteikumi. Šajā regulā dalībvalstīm ir arī paredzēta rīcības brīvība precizēt tās noteikumus, tostarp attiecībā uz īpašu kategoriju personas datu (“sensitīvu datu”) apstrādi. Šajā ziņā ar šo regulu neizslēdz dalībvalstu tiesību aktus, kuros nosaka konkrētu apstrādes situāciju apstākļus, tostarp precīzāk nosakot apstākļus, kādos personas datu apstrāde ir likumīga.

- = -

(14) Šajā regulā noteiktajai aizsardzībai attiecībā uz personas datu apstrādi būtu jāattiecas uz fiziskām personām neatkarīgi no to valstspiederības vai dzīvesvietas. Šī regula neattiecas uz tādu personas datu apstrādi, kas skar juridiskas personas un jo īpaši uzņēmumus, kuriem ir juridiskas personas statuss, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju.

- = -

(53) Īpašu kategoriju personas datus, kuriem pienākas augstāka aizsardzība, būtu jāapstrādā ar veselību saistītos nolūkos tikai tad, ja minētie nolūki jāsasniedz fizisku personu un visas sabiedrības labā, jo īpaši saistībā ar veselības vai sociālās aprūpes pakalpojumu un sistēmu pārvaldību, tostarp šādu datu apstrādi, ko kvalitātes kontroles nolūkos veic pārvaldības un centrālās valsts veselības iestādes, informāciju par pārvaldību un veselības vai sociālās aprūpes sistēmas vispārēju valsts mēroga un vietēju pārraudzību, un lai nodrošinātu veselības vai sociālās aprūpes un pārrobežu veselības aprūpes nepārtrauktību vai veselības drošību, pārraudzības vai brīdināšanas nolūkos vai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kam jāatbilst sabiedrības interešu mērķim, kā arī pētījumiem, kurus sabiedrības veselības jomā veic sabiedrības interesēs.
Tāpēc šai regulai būtu jānodrošina saskaņoti nosacījumi īpašu kategoriju personas veselības datu apstrādei attiecībā uz konkrētām vajadzībām, jo īpaši gadījumos, kad šādu datu apstrādi konkrētos ar veselību saistītos nolūkos veic personas, uz kurām attiecas juridiskais pienākums ievērot dienesta noslēpumu.
Savienības vai dalībvalsts tiesību aktiem būtu jāparedz konkrēti un atbilstoši pasākumi, lai aizsargātu fizisku personu pamattiesības un personas datus.
Būtu jāļauj dalībvalstīm saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi.
Tomēr tam nevajadzētu kavēt personas datu brīvo plūsmu Savienībā gadījumos, kad minētos nosacījumus piemēro šādu datu pārrobežu apstrādei.

- = -

(59) Būtu jāparedz kārtība, kas datu subjektam atvieglotu savu tiesību īstenošanu saskaņā ar šo regulu, tostarp mehānismi, kā pieprasīt un, ja piemērojams, bez maksas saņemt jo īpaši piekļuvi personas datiem un to labošanu vai dzēšanu un īstenot tiesības iebilst.
Pārzinim būtu jānodrošina arī līdzekļi, ar kuriem pieprasījumus var izdarīt elektroniski, īpaši gadījumos, kad personas datus apstrādā, izmantojot elektroniskus līdzekļus.
Pārzinim būtu jāuzliek pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un vēlākais viena mēneša laikā un minēt iemeslus, ja pārzinis neplāno izpildīt nevienu šādu pieprasījumu.

- = -

(89) Direktīvā 95/46/EK bija noteikts vispārīgs pienākums paziņot par personas datu apstrādi uzraudzības iestādēm.
Lai gan minētais pienākums radīja administratīvu un finanšu slogu, tas ne vienmēr palīdzēja uzlabot personas datu aizsardzību.
Tāpēc šādi nekritiski vispārīgi paziņošanas pienākumi būtu jāatceļ un jāaizstāj ar efektīvām procedūrām un mehānismiem, kas pievēršas tiem apstrādes darbību veidiem, kuri, iespējams, var radīt augstu risku fizisku personu tiesībām un brīvībām sava rakstura, apmēra, konteksta un nolūku dēļ. Šādi apstrādes darbību veidi var būt tādi, kuri jo īpaši ietver jauno tehnoloģiju izmantošanu, vai tādi, kuri pieder pie kāda jauna veida un par kuriem pārzinis pirms tam nav veicis novērtējumu par ietekmi uz datu aizsardzību, vai tādi, pēc kuriem ir radusies vajadzība, ņemot vērā laiku, kas pagājis kopš sākotnējās apstrādes.

- = -

(93) Ja pieņem dalībvalsts tiesību aktus, kuri ir publiskas iestādes vai publiskas struktūras uzdevumu izpildes pamatā un ar kuriem regulē attiecīgo konkrēto apstrādes darbību vai apstrādes darbību kopumu, dalībvalstis var uzskatīt, ka pirms apstrādes darbībām ir nepieciešams veikt minēto novērtējumu.

- = -

(94) Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka – ja nav garantijas, drošības pasākumi un mehānismi riska mazināšanai – apstrāde radītu augstu risku fizisku personu tiesībām un brīvībām un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes darbību sākšanas būtu jāapspriežas ar uzraudzības iestādi. Šādu augstu risku, visticamāk, rada daži apstrādes veidi un apstrādes apjoms un biežums, kas var izraisīt arī kaitējumu vai fiziskas personas tiesību un brīvību ierobežošanu.
Uzraudzības iestādei uz pieprasījumu par apspriešanos būtu jāatbild noteiktā termiņā.
Tomēr tam, ka uzraudzības iestāde nav sniegusi atbildi minētajā noteiktajā termiņā, nebūtu jāskar neviena uzraudzības iestādes iejaukšanas saskaņā ar šajā regulā paredzētajiem uzdevumiem un pilnvarām, tostarp pilnvarām aizliegt apstrādes darbības.
Saistībā ar minēto apspriešanās procesu uzraudzības iestādei var iesniegt novērtējuma par ietekmi uz datu aizsardzību, kas tika veikts saistībā ar attiecīgo apstrādi, iznākumu, jo īpaši pasākumus, ar kuriem paredzēts mazināt risku fizisku personu tiesībām un brīvībām.

- = -

(115) Dažas trešās valstis pieņem normatīvos un citus tiesību aktus, kuru mērķis ir tieši regulēt apstrādes darbības, ko fiziskas un juridiskas personas veic dalībvalstu jurisdikcijā.
Tas var ietvert tiesu spriedumus vai administratīvu iestāžu lēmumus trešās valstīs, ar kuriem pārzinim vai apstrādātājam prasa nosūtīt vai atklāt personas datus un kuri nav balstīti uz starptautisku nolīgumu, piemēram, savstarpējas tiesiskās palīdzības līgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību vai kādu tās dalībvalsti. Šādu normatīvu un citu tiesību aktu ekstrateritoriāla piemērošana var būt pretrunā starptautiskām tiesībām un var kavēt sasniegt tādu aizsardzību, kādu fiziskām personām Savienībā nodrošina ar šo regulu.
Nosūtīšana būtu jāatļauj tikai tad, ja šīs regulas nosacījumi nosūtīšanai uz trešām valstīm ir izpildīti.
Tas cita starpā varētu būt gadījumos, kad izpaušana ir nepieciešama, pamatojoties uz svarīgām sabiedrības interesēm, kas atzītas Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim.

- = -

(153) Dalībvalstu tiesību aktos būtu jāsaglabā līdzsvars starp noteikumiem, ar kuriem reglamentē vārda un informācijas brīvību, tostarp žurnālistu izteiksmes, akadēmiskās, mākslinieciskās vai literārās izpausmes brīvību, un tiesībām uz personas datu aizsardzību saskaņā ar šo regulu.
Uz personas datu apstrādi tikai žurnālistikas vajadzībām vai akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām būtu jāattiecas atkāpēm vai izņēmumiem no atsevišķiem šīs regulas noteikumiem, ja tas vajadzīgs, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un tiesībām uz vārda un informācijas brīvību un jo īpaši tiesībām saņemt un sniegt informāciju, kā tas ietverts hartas 11. pantā.
Tas būtu jo īpaši jāpiemēro personas datu apstrādei audiovizuālajā jomā un ziņu arhīvos, un preses bibliotēkās.
Tāpēc dalībvalstīm būtu jāpieņem leģislatīvi pasākumi, kuros noteikti izņēmumi un atkāpes, kas ir nepieciešamas minēto pamattiesību līdzsvara nodrošināšanai.
Dalībvalstīm būtu jāpieņem šādi izņēmumi un atkāpes par vispārīgajiem principiem, datu subjektu tiesībām, pārziņiem un apstrādātājiem, personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām, neatkarīgām uzraudzības iestādēm, sadarbību un konsekvenci un par īpašām datu apstrādes situācijām.
Ja šādi izņēmumi vai atkāpes dažādās dalībvalstīs ir atšķirīgi, būtu jāpiemēro tās dalībvalsts tiesību akti, kuri attiecas uz pārzini.
Lai vārda brīvības īpaši svarīgā loma katrā demokrātiskā sabiedrībā būtu pietiekami ņemta vērā, jēdzieni, kas saistīti ar šo brīvību, piemēram, jēdziens “žurnālistika”, ir jāinterpretē plaši.

- = -

(154) Šī regula atļauj ņemt vērā principu par publisku piekļuvi oficiāliem dokumentiem, piemērojot šo regulu.
Publisku piekļuvi oficiāliem dokumentiem var uzskatīt par tādu, kas ir sabiedrības interesēs.
Publiskas iestādes vai publiskas struktūras rīcībā esošajos dokumentos ietvertos personas datus minētajai iestādei vai struktūrai būtu jāspēj izpaust saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri attiecas uz publisko iestādi vai publisko struktūru.
Ar šādiem tiesību aktiem publiska piekļuve oficiāliem dokumentiem un publiskā sektora informācijas atkalizmantošana būtu jāsaskaņo ar tiesībām uz personas datu aizsardzību, un tāpēc tajos var paredzēt nepieciešamo saskaņošanu ar tiesībām uz personas datu aizsardzību, ievērojot šo regulu.
Atsaucē uz publiskām iestādēm vai publiskām struktūrām minētajā kontekstā būtu jāiekļauj visas iestādes vai citas struktūras, uz kurām attiecas dalībvalstu tiesību akti par publisku piekļuvi dokumentiem.
Eiropas Parlamenta un Padomes Direktīva 2003/98/EK (14) nemaina un nekādā veidā neskar fizisku personu aizsardzības līmeni saistībā ar personas datu apstrādi saskaņā ar Savienības un dalībvalstu tiesību aktu noteikumiem, un jo īpaši tā neizmaina pienākumus un tiesības, kādi noteikti ar šo regulu.
Jo īpaši minētā direktīva nebūtu jāpiemēro dokumentiem, kuriem piekļuve ir liegta vai ierobežota ar piekļuves režīmiem, kas tiek pamatoti ar personas datu aizsardzību, un dokumentu daļām, kurām var piekļūt saskaņā ar minētajiem režīmiem un kas satur personas datus, kuru atkalizmantošana tiesību aktos ir noteikta kā nesavienojama ar tiesību aktiem par fizisku personu aizsardzību saistībā ar personas datu apstrādi.

- = -

(155) Dalībvalsts tiesību aktos vai koplīgumos, tostarp “darba līgumos”, var paredzēt konkrētus noteikumus par darba ņēmēju personas datu apstrādi saistībā ar nodarbinātību, jo īpaši nosacījumus, saskaņā ar kuriem personas datus saistībā ar nodarbinātību var apstrādāt, pamatojoties uz darba ņēmēja piekrišanu, tādos nolūkos kā pieņemšana darbā, darba līguma izpilde, tostarp to pienākumu izpilde, kas noteikti tiesību aktos vai koplīgumā, darba vadība, darba plānošana un organizēšana, līdztiesība un dažādība darbvietā, veselība un drošība darbā, kā arī tādos nolūkos kā individuālu vai kolektīvu ar nodarbinātību saistītu tiesību un priekšrocību izmantošana vai baudīšana un darba attiecību izbeigšana.

- = -

(158) Ja personas datus apstrādā arhivēšanas nolūkos, šī regula būtu jāpiemēro arī minētajai apstrādei, paturot prātā, ka šī regula nebūtu jāpiemēro mirušu personu personas datiem.
Publiskām iestādēm vai publiskām vai privātām struktūrām, kuras glabā sabiedriskas nozīmes ierakstus, vajadzētu būt dienestiem, kuriem saskaņā ar Savienības vai dalībvalstu tiesību aktiem ir juridisks pienākums iegūt, saglabāt, novērtēt, kārtot, aprakstīt, paziņot, popularizēt, izplatīt ierakstus, kuriem ir pastāvīga vispārēja sabiedriska nozīme, un sniegt piekļuvi tiem.
Dalībvalstīm turklāt vajadzētu būt pilnvarotām paredzēt turpmāku personas datu apstrādi arhivēšanas nolūkos, piemēram, nolūkā sniegt konkrētu informāciju saistībā ar politisko izturēšanos bijušo totalitāro valsts režīmu laikā, genocīdu, noziegumiem pret cilvēci, jo īpaši holokaustu, vai kara noziegumiem.

- = -

(173) Šī regula būtu jāpiemēro visiem jautājumiem saistībā ar pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi, kuriem nav piemērojami konkrētie pienākumi ar tādu pašu mērķi, kā noteikts Eiropas Parlamenta un Padomes Direktīvā 2002/58/EK (18), tostarp pārziņa pienākumiem un fizisku personu tiesībām.
Lai precizētu saikni starp šo regulu un Direktīvu 2002/58/EK, minētā direktīva būtu attiecīgi jāgroza.
Pēc šīs regulas pieņemšanas būtu jāpārskata Direktīva 2002/58/EK, jo īpaši, lai nodrošinātu atbilsmi šai regulai,

- = -

dal 2004 diritto e informatica