interactive GDPR 2016/0679 LV

whereas nolemt:

• whereas (103) 2

definitions:

34. pants

Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

1.   Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.

2.   Paziņojumā datu subjektam, kas minēts šā panta 1. punktā, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 33. panta 3. punkta b), c) un d) apakšpunktā paredzēto informāciju un pasākumus.

3.   Paziņojums datu subjektam, kā minēts 1. punktā, nav jāsniedz, ja tiek izpildīts jebkurš no šādiem nosacījumiem:

a)

pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana;

b)	pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām;

c)	tas prasītu nesamērīgi lielas pūles. Šādā gadījumā tā vietā izmanto publisku saziņu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.

4.   Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, uzraudzības iestāde, apsvērusi iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīti visi 3. punktā minētie nosacījumi.

3. iedaļa

Novērtējums par ietekmi uz datu aizsardzību un iepriekšēja apspriešanās

40. pants

Rīcības kodeksi

1.   Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu šīs regulas atbilstīgu piemērošanu, ņemot vērā dažādo apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2.   Apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var izstrādāt rīcības kodeksus vai tos grozīt vai papildināt, lai precīzi noteiktu, kā piemērojama šī regula, piemēram, attiecībā uz:

a)	godprātīgu un pārredzamu apstrādi;

b)	pārziņu leģitīmajām interesēm konkrētos gadījumos;

c)	personas datu vākšanu;

d)	personas datu pseidonimizāciju;

e)	informāciju, ko sniedz sabiedrībai un datu subjektiem;

f)	datu subjektu tiesību īstenošanu;

g)	informāciju, ko sniedz bērniem un bērnu aizsardzību un to, kādā veidā iegūstama tās personas piekrišana, kurai ir vecāku atbildība par bērniem;

h)	pasākumiem un procedūrām, kas minēti 24. un 25. pantā, un pasākumiem, ar ko garantē 32. pantā minēto apstrādes drošību;

i)	uzraudzības iestāžu informēšanu par personas datu aizsardzības pārkāpumiem un šādu personas datu pārkāpumu paziņošanu datu subjektiem;

j)	personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām; vai

k)	ārpustiesas procedūrām un citām strīdu risināšanas procedūrām attiecībā uz strīdiem starp pārzini un datu subjektu saistībā ar apstrādi, neskarot datu subjektu tiesības saskaņā ar 77. un 79. pantu.

3.   Papildus tam, ka rīcības kodeksus, kas ir apstiprināti atbilstīgi šā panta 5. punktam un vispārēji piemērojami atbilstīgi šā panta 9. punktam, ievēro pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var ievērot arī pārziņi vai apstrādātāji, uz kuriem atbilstīgi 3. pantam šī regula neattiecas, lai nodrošinātu atbilstošas garantijas, ko piemēro personas datu nosūtīšanai uz trešām valstīm vai starptautiskām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta e) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

4.   Neskarot to uzraudzības iestāžu uzdevumus un pilnvaras, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, šā panta 2. punktā minētajā rīcības kodeksā ir ietverti mehānismi, kas ļauj 41. panta 1. punktā minētajai struktūrai veikt obligāto pārraudzību par to, kā pārziņi vai apstrādātāji, kuri apņemas piemērot attiecīgo kodeksu, ievēro tā noteikumus.

5.   Šā panta 2. punktā minētās apvienības un citas struktūras, kas plāno izstrādāt rīcības kodeksu vai grozīt vai papildināt esošu rīcības kodeksu, iesniedz rīcības kodeksa, grozījumu vai papildinājumu projektu uzraudzības iestādei, kura saskaņā ar 55. pantu ir kompetenta. Uzraudzības iestāde sniedz atzinumu par to, vai rīcības kodeksa, grozījumu vai papildinājumu projekts ir saskaņā ar šo regulu, un apstiprina minēto rīcības kodeksa, grozījumu vai papildinājumu projektu, ja tā konstatē, ka tas nodrošina pietiekamas atbilstošas garantijas.

6.   Ja rīcības kodeksa, grozījumu vai papildinājumu projekts ir apstiprināts saskaņā ar 5. punktu un ja attiecīgais rīcības kodekss neattiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde reģistrē un publisko kodeksu.

7.   Ja rīcības kodeksa projekts attiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde, kura saskaņā ar 55. pantu ir kompetenta, pirms rīcības kodeksa projektu, grozījumu vai papildinājumu apstiprināšanas 63. pantā noteiktajā kārtībā iesniedz kolēģijai, kas sniedz atzinumu par to, vai minētais rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu, vai – gadījumā, kas minēts šā panta 3. punktā – nodrošina atbilstošas garantijas.

8.   Ja 7. punktā minētais atzinums apstiprina, ka rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu vai – gadījumā, kas minēts 3. punktā – nodrošina atbilstošas garantijas, kolēģija iesniedz atzinumu Komisijai.

9.   Komisija, pieņemot īstenošanas aktus, var nolemt, ka saskaņā ar šā panta 8. punktu iesniegts apstiprināts rīcības kodekss, grozījums vai papildinājums ir vispārēji piemērojami Savienībā. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

10.   Komisija nodrošina atbilstīgu publicitāti tiem apstiprinātajiem rīcības kodeksiem, par kuriem saskaņā ar 9. punktu pieņemts lēmums, ka tie ir vispārēji piemērojami.

11.   Kolēģija visus apstiprinātos rīcības kodeksus, grozījumus un papildinājumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot piemērotus līdzekļus.

45. pants

Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1.   Personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja.

2.   Izvērtējot aizsardzības līmeņa pietiekamību, Komisija jo īpaši ņem vērā šādus elementus:

a)

tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām un publisko iestāžu piekļuvi personas datiem, kā arī šādu tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta;

b)

tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un īstenošanu, tostarp ar adekvātām izpildes pilnvarām, par palīdzību un konsultāciju sniegšanu datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un

c)	starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību.

3.   Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē. Īstenošanas aktā paredz periodiskas, vismaz reizi četros gados notiekošas pārskatīšanas mehānismu, kurā ņem vērā visas attiecīgās norises trešajā valstī vai starptautiskajā organizācijā. Īstenošanas aktā precizē tā teritoriālo un sektoriālo piemērošanu un attiecīgā gadījumā norāda šā panta 2. punkta b) apakšpunktā minēto uzraudzības iestādi vai iestādes. Īstenošanas aktu pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

4.   Komisija trešās valstīs un starptautiskajās organizācijās pastāvīgi uzrauga norises, kas varētu ietekmēt saskaņā ar šā panta 3. punktu pieņemto lēmumu un, balstoties uz Direktīvas 95/46/EK 25. panta 6. punktu, pieņemto lēmumu darbību.

5.   Ja pieejamā informācija, jo īpaši pēc šā panta 3. punktā minētās pārskatīšanas, liecina, ka kāda trešā valsts, teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai kāda starptautiska organizācija vairs nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, Komisija, pieņemot īstenošanas aktus, ciktāl tas nepieciešams atceļ, groza vai aptur šā panta 3. punktā minēto lēmumu bez atpakaļejoša spēka. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

Pienācīgi pamatotu nenovēršamu un steidzamu iemeslu dēļ Komisija saskaņā ar procedūru, kura minēta 93. panta 3. punktā, pieņem īstenošanas aktus, kas jāpiemēro nekavējoties.

6.   Komisija ar trešo valsti vai starptautisko organizāciju sāk konsultācijas, lai labotu stāvokli, kura dēļ saskaņā ar 5. punktu ir pieņemts lēmums.

7.   Saskaņā ar šā panta 5. punktu pieņemts lēmums neskar personas datu nosūtīšanu uz trešo valsti, teritoriju vai vienu vai vairākiem konkrētiem sektoriem minētajā trešā valstī, vai attiecīgu starptautisku organizāciju atbilstīgi 46.–49. pantam.

8.   Komisija Eiropas Savienības Oficiālajā Vēstnesī un savā tīmekļa vietnē publicē sarakstu ar tām trešām valstīm, teritorijām un konkrētiem sektoriem trešā valstī un starptautiskām organizācijām, attiecībā uz kurām tā ir pieņēmusi lēmumu, ka ir vai vairs nav nodrošināts pietiekams aizsardzības līmenis.

9.   Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 3. vai 5. punktu.