interactive GDPR 2016/0679 LV

“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

3)	“apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;

“pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisku personu;

6)	“kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

“pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos;

8)	“apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;

“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;

10)	“trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;

11)	datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;

12)	“personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

13)	“ģenētiskie dati” ir personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes;

14)	“biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

15)	“veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;

16)

“galvenā uzņēmējdarbības vieta”:

attiecībā uz pārzini, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, ja vien lēmumi par personas datu apstrādes nolūkiem un līdzekļiem netiek pieņemti citā pārziņa uzņēmējdarbības vietā Savienībā un ja vien šai citai uzņēmējdarbības vietai nav šādu lēmumu īstenošanas pilnvaru – tādā gadījumā par galveno uzņēmējdarbības vietu uzskata to uzņēmējdarbības vietu, kurā pieņemti šādi lēmumi;

attiecībā uz apstrādātāju, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, vai, ja apstrādātājam nav galvenās pārvaldes Savienībā, – apstrādātāja uzņēmējdarbības vieta Savienībā, kur notiek galvenās apstrādes darbības saistībā ar apstrādātāja uzņēmējdarbības vietas darbībām, ciktāl uz apstrādātāju attiecas šajā regulā paredzētie konkrētie pienākumi;

17)	“pārstāvis” ir fiziska vai juridiska persona, kura veic uzņēmējdarbību Savienībā un kuru pārzinis vai apstrādātājs ir iecēlis rakstiski saskaņā ar 27. pantu, un kura pārstāv pārzini vai apstrādātāju saistībā ar to attiecīgajiem pienākumiem, kas paredzēti šajā regulā;

18)	“uzņēmums” ir fiziska vai juridiska persona, kas veic saimniecisku darbību, neatkarīgi no tās juridiskā statusa, tostarp partnerības vai apvienības, kas regulāri veic saimniecisku darbību;

19)	“uzņēmumu grupa” ir kontrolējošais uzņēmums un tā kontrolētie uzņēmumi;

20)

“saistošie uzņēmuma noteikumi” ir personas datu aizsardzības vadlīnijas, ko stingri ievēro pārzinis vai apstrādātājs, kas veic uzņēmējdarbību dalībvalsts teritorijā, attiecībā uz personas datu nosūtīšanu vai vairākkārtēju nosūtīšanu pārzinim vai apstrādātājam vienā vai vairākās trešās valstīs uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā;

21)	“uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot51. pantu;

22)

“attiecīgā uzraudzības iestāde” ir uzraudzības iestāde, uz kuru personas datu apstrāde attiecas tāpēc, ka:

a)	pārzinis vai apstrādātājs veic uzņēmējdarbību minētās uzraudzības iestādes dalībvalsts teritorijā;

b)	apstrāde būtiski ietekmē vai var būtiski ietekmēt datu subjektus, kas dzīvo minētās uzraudzības iestādes dalībvalstī; vai

c)	sūdzība ir iesniegta minētajai uzraudzības iestādei;

23)

“pārrobežu apstrāde” ir vai nu:

a)	personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja uzņēmējdarbības vietās vairāk nekā vienā dalībvalstī, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī; vai

b)	personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja vienīgajā uzņēmējdarbības vietā, bet kas būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī;

24)

“būtisks un motivēts iebildums” ir iebildums lēmuma projektam par to, vai šī regula ir pārkāpta, vai par to, vai iecerētā darbība attiecībā uz pārzini vai apstrādātāju atbilst šai regulai, skaidri parādot to risku nozīmīgumu, ko lēmuma projekts rada datu subjektu pamattiesībām un pamatbrīvībām un attiecīgā gadījumā – personas datu brīvai apritei Savienībā;

25)	“informācijas sabiedrības pakalpojums” ir pakalpojums, kā definēts Eiropas Parlamenta un Padomes Direktīvas (ES) 2015/1535 (19) 1. panta 1. punkta b) apakšpunktā;

26)	“starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāku valstu nolīgumu vai uz tā pamata.

II NODAĻA

Principi

15. pants

Datu subjekta piekļuves tiesības

1. Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:

a)	apstrādes nolūki;

b)	attiecīgo personas datu kategorijas;

c)	personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;

d)	ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

e)	tas, ka pastāv tiesības pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu, vai personas datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi;

f)	tiesības iesniegt sūdzību uzraudzības iestādei;

g)	visa pieejamā informācija par datu avotu, ja personas dati netiek vākti no datu subjekta;

h)	tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

2. Ja personas datus nosūta trešai valstij vai starptautiskai organizācijai, datu subjektam ir tiesības saņemt informāciju par atbilstošām garantijām, ko saistībā ar datu nosūtīšanu piemēro, ievērojot 46. pantu.

3. Pārzinis nodrošina apstrādē esošo personas datu kopiju. Par visām papildus kopijām, ko pieprasa datu subjekts, pārzinis var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā un ja vien datu subjekts nepieprasa citādi, informāciju sniedz plaši izmantotā elektroniskā formātā.

4. Tiesības saņemt 3. punktā minēto kopiju neietekmē nelabvēlīgi citu personu tiesības un brīvības.

3. iedaļa

Labošana un dzēšana

20. pants

Tiesības uz datu pārnesamību

1. Datu subjektam ir tiesības saņemt personas datus attiecībā uz sevi, kurus viņš sniedzis pārzinim, strukturētā, plaši izmantotā un mašīnlasāmā formātā un ir tiesības minētos datus nosūtīt citam pārzinim, un pārzinis, kuram attiecīgie personas dati sniegti, tam nerada nekādus šķēršļus, ja:

a)	apstrāde pamatojas uz piekrišanu, ievērojot 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu, vai uz līgumu, ievērojot 6. panta 1. punkta b) apakšpunktu; un

b)	apstrādi veic ar automatizētiem līdzekļiem.

2. Īstenojot savas tiesības uz datu pārnesamību saskaņā ar 1. punktu, datu subjektam ir tiesības uz personas datu nosūtīšanu tieši no viena pārziņa citam pārzinim, ja tas ir tehniski iespējams.

3. Šā panta 1. punktā minēto tiesību īstenošana neskar 17. pantu. Minētās tiesības neattiecas uz apstrādi, kas ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras.

4. Tiesības, kas minētas 1. punktā, neietekmē nelabvēlīgi citu personu tiesības un brīvības.

4. iedaļa

Tiesības iebilst un automatizēta individuālu lēmumu pieņemšana

23. pants

Ierobežojumi

1. Saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:

a)	valsts drošību;

b)	aizsardzību;

c)	sabiedrisko drošību;

d)	noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem vai kriminālsodu izpildi, tostarp aizsardzību pret sabiedriskās drošības apdraudējumiem un to novēršanu;

e)	citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, tostarp monetāros, budžeta un nodokļu jautājumus, sabiedrības veselību un sociālo nodrošinājumu;

f)	tiesu neatkarības un tiesvedības aizsardzību;

g)	reglamentētu profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem;

h)	uzraudzības, pārbaudes vai regulatīvo funkciju, kas – pat, ja tikai epizodiski – ir saistīta ar oficiālu pilnvaru īstenošanu a) līdz e) un g) apakšpunktā minētajos gadījumos;

i)	datu subjekta aizsardzību vai citu personu tiesību un brīvību aizsardzību;

j)	civilprasību izpildi.

2. Jo īpaši – jebkurā leģislatīvā pasākumā, kas minēts 1. punktā, ietver konkrētus noteikumus attiecīgā gadījumā vismaz par:

a)	nolūkiem, kādos veic apstrādi, vai apstrādes kategorijām;

b)	personas datu kategorijām;

c)	ieviesto ierobežojumu darbības jomu;

d)	garantijām, lai novērstu ļaunprātīgu izmantošanu vai nelikumīgu piekļuvi vai nosūtīšanu;

e)	pārziņa vai pārziņu kategoriju noteikšanu;

f)	glabāšanas laikposmiem un piemērojamām garantijām, ņemot vērā apstrādes vai apstrādes kategoriju raksturu, darbības jomu un nolūkus;

g)	riskiem attiecībā uz datu subjektu tiesībām un brīvībām; un

h)	datu subjektu tiesībām saņemt informāciju par ierobežojumu, izņemot tad, ja tas var kaitēt ierobežojuma mērķim.

IV NODAĻA

Pārzinis un apstrādātājs

1. iedaļa

Vispārīgi pienākumi

28. pants

Apstrādātājs

1. Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība.

2. Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām.

3. Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas ir saistošs apstrādātājam un pārzinim un kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs:

personas datus apstrādā tikai pēc pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, un šādā gadījumā apstrādātājs par minēto juridisko prasību informē pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ;

b)	nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;

c)	īsteno visus pasākumus, kas nepieciešami saskaņā ar 32. pantu;

d)	ievēro 2. un 4. punktā minētos nosacījumus, saskaņā ar kuriem tiek piesaistīts cits apstrādātājs;

e)	ciktāl tas ir iespējams ņemot vērā apstrādes būtību, palīdz pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par III nodaļā paredzēto datu subjekta tiesību īstenošanu;

f)	palīdz pārzinim nodrošināt 32. līdz 36. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju;

g)	pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana;

h)	pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu.

Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja, viņaprāt, kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus.

4. Ja apstrādātājs ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai pārziņa vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti līgumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, kā minēts 3. punktā, jo īpaši pietiekami garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas šajā regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs paliek pilnībā atbildīgs pārzinim par šā cita apstrādātāja pienākumu izpildi.

5. Apstrādātāja atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. un 4. punktā minētās pietiekamās garantijas.

6. Neskarot atsevišķu līgumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto līgumu vai citu juridisku aktu var pilnībā vai daļēji balstīt uz šā panta 7. un 8. punktā minētajām līguma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurš pārzinim vai apstrādātājam piešķirts saskaņā ar 42. un 43. pantu.

7. Komisija var izstrādāt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

8. Uzraudzības iestāde var pieņemt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar konsekvences mehānismu, kas minēts 63. pantā.

9. Šā panta 3. un 4. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski.

10. Neskarot 82., 83. un 84. pantu – ja apstrādātājs pārkāpj šo regulu, nosakot apstrādes nolūkus un līdzekļus, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi.

30. pants

Apstrādes darbību reģistrēšana

1. Katrs pārzinis un attiecīgā gadījumā pārziņa pārstāvis reģistrē tā pakļautībā veiktās apstrādes darbības. Minētajā reģistrā ietver visu šādu informāciju:

a)	pārziņa un attiecīgā gadījumā visu kopīgo pārziņu, pārziņa pārstāvja un datu aizsardzības speciālista, vārds un uzvārds vai nosaukums un kontaktinformācija;

b)	apstrādes nolūki;

c)	datu subjektu kategoriju un personas datu kategoriju apraksts;

d)	to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas;

e)	attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atbilstošo garantiju dokumentācija;

f)	ja iespējams, paredzētie termiņi dažādu kategoriju datu dzēšanai;

g)	ja iespējams, 32. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

2. Katrs apstrādātājs un attiecīgā gadījumā apstrādātāja pārstāvis uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju:

apstrādātāja vai apstrādātāju vārdi un uzvārdi vai nosaukumi un kontaktinformācija un katra tā pārziņa vārds un uzvārds vai nosaukums un kontaktinformācija, kura vārdā apstrādātājs darbojas, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvja un datu aizsardzības speciālista vārds un uzvārds un kontaktinformācija;

b)	katra pārziņa vārdā veiktās apstrādes kategorijas;

c)	attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atbilstošo garantiju dokumentācija;

d)	ja iespējams, 32. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts.

3. Šā panta 1. un 2. punktā minēto reģistrēšanu veic rakstiski, tostarp elektroniskā formātā.

4. Pārzinis vai apstrādātājs, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma nodrošina reģistra pieejamību uzraudzības iestādei.

5. Pienākumus, kas minēti 1. un 2. punktā, nepiemēro uzņēmumam vai organizācijai, kas nodarbina mazāk nekā 250 personas, izņemot, ja uzņēmuma vai struktūras veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, apstrāde nav neregulāra vai apstrāde ietver īpašas datu kategorijas, kas minētas 9. panta 1. punktā, vai personas datus par sodāmību un pārkāpumiem, kas minēti 10. pantā.

40. pants

Rīcības kodeksi

1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu šīs regulas atbilstīgu piemērošanu, ņemot vērā dažādo apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2. Apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var izstrādāt rīcības kodeksus vai tos grozīt vai papildināt, lai precīzi noteiktu, kā piemērojama šī regula, piemēram, attiecībā uz:

a)	godprātīgu un pārredzamu apstrādi;

b)	pārziņu leģitīmajām interesēm konkrētos gadījumos;

c)	personas datu vākšanu;

d)	personas datu pseidonimizāciju;

e)	informāciju, ko sniedz sabiedrībai un datu subjektiem;

f)	datu subjektu tiesību īstenošanu;

g)	informāciju, ko sniedz bērniem un bērnu aizsardzību un to, kādā veidā iegūstama tās personas piekrišana, kurai ir vecāku atbildība par bērniem;

h)	pasākumiem un procedūrām, kas minēti 24. un 25. pantā, un pasākumiem, ar ko garantē 32. pantā minēto apstrādes drošību;

i)	uzraudzības iestāžu informēšanu par personas datu aizsardzības pārkāpumiem un šādu personas datu pārkāpumu paziņošanu datu subjektiem;

j)	personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām; vai

k)	ārpustiesas procedūrām un citām strīdu risināšanas procedūrām attiecībā uz strīdiem starp pārzini un datu subjektu saistībā ar apstrādi, neskarot datu subjektu tiesības saskaņā ar 77. un 79. pantu.

3. Papildus tam, ka rīcības kodeksus, kas ir apstiprināti atbilstīgi šā panta 5. punktam un vispārēji piemērojami atbilstīgi šā panta 9. punktam, ievēro pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var ievērot arī pārziņi vai apstrādātāji, uz kuriem atbilstīgi 3. pantam šī regula neattiecas, lai nodrošinātu atbilstošas garantijas, ko piemēro personas datu nosūtīšanai uz trešām valstīm vai starptautiskām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta e) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

4. Neskarot to uzraudzības iestāžu uzdevumus un pilnvaras, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, šā panta 2. punktā minētajā rīcības kodeksā ir ietverti mehānismi, kas ļauj 41. panta 1. punktā minētajai struktūrai veikt obligāto pārraudzību par to, kā pārziņi vai apstrādātāji, kuri apņemas piemērot attiecīgo kodeksu, ievēro tā noteikumus.

5. Šā panta 2. punktā minētās apvienības un citas struktūras, kas plāno izstrādāt rīcības kodeksu vai grozīt vai papildināt esošu rīcības kodeksu, iesniedz rīcības kodeksa, grozījumu vai papildinājumu projektu uzraudzības iestādei, kura saskaņā ar 55. pantu ir kompetenta. Uzraudzības iestāde sniedz atzinumu par to, vai rīcības kodeksa, grozījumu vai papildinājumu projekts ir saskaņā ar šo regulu, un apstiprina minēto rīcības kodeksa, grozījumu vai papildinājumu projektu, ja tā konstatē, ka tas nodrošina pietiekamas atbilstošas garantijas.

6. Ja rīcības kodeksa, grozījumu vai papildinājumu projekts ir apstiprināts saskaņā ar 5. punktu un ja attiecīgais rīcības kodekss neattiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde reģistrē un publisko kodeksu.

7. Ja rīcības kodeksa projekts attiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde, kura saskaņā ar 55. pantu ir kompetenta, pirms rīcības kodeksa projektu, grozījumu vai papildinājumu apstiprināšanas 63. pantā noteiktajā kārtībā iesniedz kolēģijai, kas sniedz atzinumu par to, vai minētais rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu, vai – gadījumā, kas minēts šā panta 3. punktā – nodrošina atbilstošas garantijas.

8. Ja 7. punktā minētais atzinums apstiprina, ka rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu vai – gadījumā, kas minēts 3. punktā – nodrošina atbilstošas garantijas, kolēģija iesniedz atzinumu Komisijai.

9. Komisija, pieņemot īstenošanas aktus, var nolemt, ka saskaņā ar šā panta 8. punktu iesniegts apstiprināts rīcības kodekss, grozījums vai papildinājums ir vispārēji piemērojami Savienībā. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

10. Komisija nodrošina atbilstīgu publicitāti tiem apstiprinātajiem rīcības kodeksiem, par kuriem saskaņā ar 9. punktu pieņemts lēmums, ka tie ir vispārēji piemērojami.

11. Kolēģija visus apstiprinātos rīcības kodeksus, grozījumus un papildinājumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot piemērotus līdzekļus.

44. pants

Nosūtīšanas vispārīgie principi

Personas datus, kas tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, nosūta tikai tad, ja, ņemot vērā citus šīs regulas noteikumus, pārzinis un apstrādātājs ir ievērojuši šajā nodaļā paredzētos nosacījumus, ietverot arī personas datu tālāku nosūtīšanu no trešās valsts vai starptautiskās organizācijas uz citu trešo valsti vai citu starptautisku organizāciju. Piemēro visus šīs nodaļas noteikumus, lai nodrošinātu, ka nemazinās ar šo regulu garantētais fizisku personu aizsardzības līmenis.

45. pants

Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1. Personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja.

2. Izvērtējot aizsardzības līmeņa pietiekamību, Komisija jo īpaši ņem vērā šādus elementus:

tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām un publisko iestāžu piekļuvi personas datiem, kā arī šādu tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta;

tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un īstenošanu, tostarp ar adekvātām izpildes pilnvarām, par palīdzību un konsultāciju sniegšanu datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un

c)	starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību.

3. Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē. Īstenošanas aktā paredz periodiskas, vismaz reizi četros gados notiekošas pārskatīšanas mehānismu, kurā ņem vērā visas attiecīgās norises trešajā valstī vai starptautiskajā organizācijā. Īstenošanas aktā precizē tā teritoriālo un sektoriālo piemērošanu un attiecīgā gadījumā norāda šā panta 2. punkta b) apakšpunktā minēto uzraudzības iestādi vai iestādes. Īstenošanas aktu pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

4. Komisija trešās valstīs un starptautiskajās organizācijās pastāvīgi uzrauga norises, kas varētu ietekmēt saskaņā ar šā panta 3. punktu pieņemto lēmumu un, balstoties uz Direktīvas 95/46/EK 25. panta 6. punktu, pieņemto lēmumu darbību.

5. Ja pieejamā informācija, jo īpaši pēc šā panta 3. punktā minētās pārskatīšanas, liecina, ka kāda trešā valsts, teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai kāda starptautiska organizācija vairs nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, Komisija, pieņemot īstenošanas aktus, ciktāl tas nepieciešams atceļ, groza vai aptur šā panta 3. punktā minēto lēmumu bez atpakaļejoša spēka. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

Pienācīgi pamatotu nenovēršamu un steidzamu iemeslu dēļ Komisija saskaņā ar procedūru, kura minēta 93. panta 3. punktā, pieņem īstenošanas aktus, kas jāpiemēro nekavējoties.

6. Komisija ar trešo valsti vai starptautisko organizāciju sāk konsultācijas, lai labotu stāvokli, kura dēļ saskaņā ar 5. punktu ir pieņemts lēmums.

7. Saskaņā ar šā panta 5. punktu pieņemts lēmums neskar personas datu nosūtīšanu uz trešo valsti, teritoriju vai vienu vai vairākiem konkrētiem sektoriem minētajā trešā valstī, vai attiecīgu starptautisku organizāciju atbilstīgi 46.–49. pantam.

8. Komisija Eiropas Savienības Oficiālajā Vēstnesī un savā tīmekļa vietnē publicē sarakstu ar tām trešām valstīm, teritorijām un konkrētiem sektoriem trešā valstī un starptautiskām organizācijām, attiecībā uz kurām tā ir pieņēmusi lēmumu, ka ir vai vairs nav nodrošināts pietiekams aizsardzības līmenis.

9. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 3. vai 5. punktu.

47. pants

Saistoši uzņēmuma noteikumi

1. Kompetentā uzraudzības iestāde apstiprina saistošos uzņēmuma noteikumus saskaņā ar 63. pantā minēto konsekvences mehānismu ar noteikumu, ka tie:

a)	ir juridiski saistoši, un tie tiek piemēroti, un tos īsteno katrs attiecīgais uzņēmumu grupas loceklis vai katrs tādas uzņēmējsabiedrību grupas loceklis, kas iesaistīti kopīgā saimnieciskā darbībā, tostarp to darbinieki;

b)	skaidri piešķir īstenojamas tiesības datu subjektiem attiecībā uz personas datu apstrādi; un

c)	atbilst 2. punktā izklāstītajām prasībām.

2. Saistošajos uzņēmuma noteikumos, kas minēti 1. punktā, norāda vismaz:

a)	katras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, un katra tās locekļa struktūru un kontaktinformāciju;

b)	datu nosūtīšanu vai vairākkārtēju nosūtīšanu, ietverot personas datu kategorijas, apstrādes veidu un nolūkus, attiecīgo datu subjektu veidu un attiecīgās trešās valsts vai valstu identifikāciju;

c)	to juridiski gan iekšēji, gan ārēji saistošo raksturu;

vispārīgo datu aizsardzības principu piemērošanu, jo īpaši nolūka ierobežojumus, datu minimizēšanu, ierobežotus glabāšanas laikposmus, datu kvalitāti, integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, apstrādes juridisko pamatu, konkrētu personas datu kategoriju apstrādi, pasākumus datu drošības nodrošināšanai un prasības attiecībā uz tālāku nosūtīšanu struktūrām, uz kurām neattiecas saistoši uzņēmuma noteikumi;

datu subjektu tiesības attiecībā uz apstrādi un līdzekļus minēto tiesību īstenošanai, ietverot tiesības nebūt tādu lēmumu subjektam, kuru pamatā ir vienīgi automatizēta apstrāde, tostarp profilēšana, saskaņā ar 22. pantu, tiesības iesniegt sūdzību kompetentai uzraudzības iestādei un kompetentai tiesai dalībvalstīs saskaņā ar 79. pantu un tiesības uz tiesību aizsardzību un vajadzības gadījumā uz kompensāciju saistošo uzņēmuma noteikumu pārkāpuma gadījumā;

pārziņa vai apstrādātāja, kas veic uzņēmējdarbību dalībvalsts teritorijā, piekrišanu, ka tas uzņemas atbildību par saistošo uzņēmuma noteikumu pārkāpumu, ko izdara jebkurš attiecīgais loceklis, kas neveic uzņēmējdarbību Savienībā; pārzini vai apstrādātāju pilnībā vai daļēji atbrīvo no minētās atbildības tikai tad, ja pierāda, ka minētais loceklis nav atbildīgs par notikumu, ar ko nodarīts kaitējums;

g)	kā papildus 13. un 14. pantā minētajai informācijai datu subjektam tiek sniegta informācija par saistošiem uzņēmuma noteikumiem, jo īpaši par noteikumiem, kas minēti šā punkta d), e) un f) apakšpunktā;

jebkura saskaņā ar 37. pantu ieceltā datu aizsardzības speciālista uzdevumus vai jebkuras citas personas vai vienības uzdevumus, kas ir atbildīga par to, lai uzraudzītu, kā uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, tiek ievēroti saistošie uzņēmuma noteikumi, kā arī uzdevumu uzraudzīt apmācības un sūdzību izskatīšanu;

i)	sūdzību procedūras;

uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, izveidotos mehānismus, lai nodrošinātu verifikāciju par saistošo uzņēmuma noteikumu ievērošanu. Šādi mehānismi ietver datu aizsardzības revīziju un metodes, ar kurām nodrošina korektīvu rīcību, lai aizsargātu datu subjekta tiesības. Šādas verifikācijas rezultāti būtu jāpaziņo h) apakšpunktā minētai personai vai vienībai un uzņēmumu grupas kontrolējošā uzņēmuma valdei vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, valdei, un tiem pēc pieprasījuma vajadzētu būt pieejamiem kompetentajai uzraudzības iestādei;

k)	mehānismus, kas izveidoti, lai ziņotu par izmaiņām noteikumos un tās reģistrētu, un lai paziņotu par minētajām izmaiņām uzraudzības iestādei;

l)	sadarbības mehānismu ar uzraudzības iestādi, lai nodrošinātu, ka visi uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, locekļi ievēro noteikumus, jo īpaši darot uzraudzības iestādei pieejamus j) apakšpunktā minēto pasākumu verifikāciju rezultātus;

mehānismus, lai ziņotu kompetentajai uzraudzības iestādei par jebkādām juridiskajām prasībām, kuras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīti kopīgā saimnieciskā darbībā, loceklim piemēro trešā valstī un kurām var būt ievērojama nelabvēlīga ietekme uz garantijām, ko paredz saistoši uzņēmuma noteikumi; un

n)	piemērotu datu aizsardzības apmācību personālam, kuram ir pastāvīga vai regulāra piekļuve personas datiem.

3. Komisija var noteikt formātu un procedūras informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm saistībā ar saistošiem uzņēmuma noteikumiem šā panta nozīmē. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

49. pants

Atkāpes īpašās situācijās

1. Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar 45. panta 3. punktu vai nav nodrošinātas atbilstošas garantijas saskaņā ar 46. pantu, tostarp saistoši uzņēmuma noteikumi, personas datu nosūtīšana vai vairākkārtēja nosūtīšana uz trešo valsti vai starptautisku organizāciju notiek tikai tad, ja izpildīts viens no turpmāk minētajiem nosacījumiem:

a)	datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ;

b)	nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma;

c)	nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei;

d)	nosūtīšana ir nepieciešama, ja ir svarīgi iemesli sabiedrības interesēs;

e)	nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;

f)	nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var pierādīt savas leģitīmās intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības vai dalībvalsts tiesību aktos paredzētie izmantošanas nosacījumi.

Ja nosūtīšanu nevar balstīt uz 45. vai 46. pantā ietvertu noteikumu, tostarp noteikumu par saistošiem uzņēmuma noteikumiem, un nav piemērojama neviena no atkāpēm īpašās situācijās saskaņā ar šā punkta pirmo daļu, nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt tikai tad, ja nosūtīšana neatkārtojas, attiecas vienīgi uz ierobežotu skaitu datu subjektu, ir vajadzīga pārziņa pārliecinošām leģitīmām interesēm, attiecībā uz kurām datu subjekta intereses vai tiesības un brīvības nav svarīgākas, un pārzinis ir novērtējis visus apstākļus saistībā ar datu nosūtīšanu un, pamatojoties uz minēto novērtējumu, ir sniedzis atbilstošas garantijas attiecībā uz personas datu aizsardzību. Pārzinis par nosūtīšanu informē uzraudzības iestādi. Papildus 13. un 14. pantā minētās informācijas sniegšanai pārzinis informē datu subjektu par nosūtīšanu un par pārliecinošām leģitīmām interesēm.

2. Nosūtot datus saskaņā ar 1. punkta pirmās daļas g) apakšpunktu, nenosūta pilnīgi visus reģistrā ietvertos personas datus vai veselas personas datu kategorijas. Ja reģistrs ir paredzēts, lai to varētu izmantot personas, kurām ir leģitīmas intereses, datus nosūta tikai pēc minēto personu pieprasījuma vai ja šīs personas ir datu saņēmēji.

3. Šā panta 1. punkta pirmās daļas a), b) un c) apakšpunktu un otro daļu nepiemēro publisko iestāžu darbībai, kad tās īsteno savas publiskās pilnvaras.

4. Sabiedrības intereses, kas minētas 1. punkta pirmās daļas d) apakšpunktā, ir atzītas Savienības tiesībās vai tās dalībvalsts tiesībās, kas ir piemērojamas pārzinim.

5. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības vai dalībvalsts tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju. Dalībvalstis par jebkādiem šādiem noteikumiem paziņo Komisijai.

6. Pārzinis vai apstrādātājs 30. pantā minētajos datu reģistros dokumentē novērtējumu, kā arī šā panta 1. punkta otrajā daļā izklāstītās atbilstošās garantijas.

50. pants

Starptautiskā sadarbība personas datu aizsardzības jomā

Attiecībā uz trešām valstīm un starptautiskām organizācijām Komisija un uzraudzības iestādes veic atbilstošus pasākumus, lai:

a)	izstrādātu starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu efektīvu izpildi;

sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņošanu, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošas garantijas attiecībā uz personas datu aizsardzību un citas pamattiesības un pamatbrīvības;

c)	iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir padziļināt starptautisko sadarbību datu aizsardzības tiesību aktu izpildē;

d)	veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu, tostarp attiecībā uz jurisdikcijas konfliktiem ar trešām valstīm.

VI NODAĻA

Neatkarīgas uzraudzības iestādes

1. iedaļa

Neatkarība

61. pants

Savstarpēja palīdzība

1. Uzraudzības iestādes sniedz cita citai visu attiecīgo informāciju un savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo regulu, un īsteno pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība ietver jo īpaši informācijas pieprasījumus un uzraudzības pasākumus, piemēram, pieprasījumus sniegt iepriekšējas atļaujas un veikt apspriešanos, pārbaudes un izmeklēšanas.

2. Katra uzraudzības iestāde veic visus atbilstīgos pasākumus, kas nepieciešami, lai bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas atbildētu uz kādas citas uzraudzības iestādes pieprasījumu. Šādi pasākumi jo īpaši var ietvert attiecīgas informācijas par izmeklēšanas gaitu nosūtīšanu.

3. Palīdzības pieprasījumos ir norādīta visa nepieciešamā informācija, tostarp pieprasījuma nolūks un pamatojums. Apmaiņā iegūto informāciju izmanto tikai tam nolūkam, kādam tā tika pieprasīta.

4. Uzraudzības iestāde, kurai pieprasījums adresēts, neatsakās izpildīt pieprasījumu, izņemot, ja:

a)	pieprasījuma priekšmets vai pasākumi, kurus lūdz izpildīt, nav tās kompetencē; vai

b)	pieprasījuma izpilde pārkāptu šo regulu vai Savienības vai dalībvalsts tiesību aktus, ko piemēro uzraudzības iestādei, kura saņēmusi pieprasījumu.

5. Uzraudzības iestāde, kurai pieprasījums adresēts, informē pieprasošo uzraudzības iestādi par rezultātiem vai attiecīgā gadījumā par progresu vai pasākumiem, kas veikti, lai izpildītu pieprasījumu. Uzraudzības iestāde, kurai pieprasījums adresēts, ievērojot 4. punktu, paskaidro iemeslus jebkuram atteikumam izpildīt pieprasījumu.

6. Uzraudzības iestādes, kurām pieprasījums adresēts, parasti sniedz citu uzraudzības iestāžu pieprasīto informāciju elektroniskā veidā, izmantojot standarta formātu.

7. Uzraudzības iestādes, kurām pieprasījums adresēts, neprasa samaksu par darbībām, ko tās veikušas, ievērojot savstarpējās palīdzības pieprasījumu. Uzraudzības iestādes var vienoties par noteikumiem, kā savā starpā kompensēt īpašos izdevumus, kas radušies no savstarpējas palīdzības sniegšanas ārkārtas apstākļos.

8. Ja uzraudzības iestāde nesniedz šā panta 5. punktā minēto informāciju viena mēneša laikā pēc citas uzraudzības iestādes pieprasījuma saņemšanas, pieprasošā uzraudzības iestāde savas dalībvalsts teritorijā var pieņemt pagaidu pasākumu saskaņā ar 55. panta 1. punktu. Minētajā gadījumā tiek uzskatīts, ka saskaņā ar 66. panta 1. punktu ir steidzami jārīkojas un ir nepieciešams steidzams kolēģijas saistošs lēmums saskaņā ar 66. panta 2. punktu.

9. Komisija ar īstenošanas aktiem var noteikt formātu un procedūras savstarpējai palīdzībai, kas minēta šajā pantā, un kārtību, kādā uzraudzības iestādes savā starpā un ar kolēģiju apmainās ar informāciju, izmantojot elektroniskos līdzekļus, jo īpaši standarta formātu, kas minēts šā panta 6. punktā. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

70. pants

Kolēģijas uzdevumi

1. Kolēģija nodrošina šīs regulas konsekventu piemērošanu. Šim nolūkam kolēģija pēc savas iniciatīvas vai attiecīgā gadījumā pēc Komisijas pieprasījuma jo īpaši:

a)	pārrauga un nodrošina šīs regulas pareizu piemērošanu gadījumos, kas paredzēti 64 un 65. pantā, neskarot valstu uzraudzības iestāžu uzdevumus;

b)	sniedz padomus Komisijai par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tai skaitā par visiem šīs regulas grozījumiem, kas tiek ierosināti;

c)	sniedz padomus Komisijai par formātu un procedūrām informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm attiecībā uz saistošiem uzņēmuma noteikumiem;

d)	nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz procedūrām saišu uz personas datiem, datu kopiju un atveidojumu dzēšanai no publiski pieejamiem komunikācijas pakalpojumiem, kā minēts 17. panta 2. punktā;

e)	pēc pašas kolēģijas iniciatīvas, pēc viena no tās locekļu vai Komisijas pieprasījuma izskata jebkādus jautājumus, kas attiecas uz šīs regulas piemērošanu, un nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, lai veicinātu šīs regulas konsekventu piemērošanu;

f)	nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi saskaņā ar šā punkta e) apakšpunktu, kā sīkāk noteikt kritērijus un nosacījumus uz profilēšanu balstītiem lēmumiem saskaņā ar 22. panta 2. punktu;

saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā noteikt personas datu aizsardzības pārkāpumus un 33. panta 1. un 2. punktā minēto nepamatoto kavēšanos, un īpaši tādus apstākļus, kādos pārzinim un apstrādātājam ir jāziņo par personas datu aizsardzības pārkāpumu;

h)	saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz apstākļiem, kādos personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, kā minēts 34. panta 1. punktā;

saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un prasības personas datu nosūtīšanai, pamatojoties uz saistošiem uzņēmuma noteikumiem, kurus ievēro pārzinis, un saistošiem uzņēmuma noteikumiem, kurus ievēro apstrādātāji, un uz sīkākām nepieciešamām prasībām, lai nodrošinātu attiecīgo datu subjektu personas datu aizsardzību, kas minētas 47. pantā;

j)	saskaņā ar šā panta 1. punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un prasības attiecībā uz datu personas nosūtīšanu, pamatojoties uz 49. panta 1. punktu;

k)	izstrādā uzraudzības iestādēm adresētas pamatnostādnes par 58. panta 1., 2. un 3. punktā minēto pasākumu piemērošanu un par administratīvo naudas sodu noteikšanu saskaņā ar 83. pantu;

l)	pārskata e) un fa) apakšpunktā minēto pamatnostādņu, ieteikumu un paraugprakses praktisko piemērošanu;

m)	saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā izveidot kopīgas procedūras attiecībā uz fizisku personu ziņojumiem par šīs regulas pārkāpumiem saskaņā ar 54. panta 2. punktu;

n)	mudina izstrādāt rīcības kodeksus un izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus saskaņā ar 40. un 42. pantu;

veic sertifikācijas struktūru akreditāciju un tās periodisku pārskatīšanu saskaņā ar 43. pantu un uztur publisku reģistru par akreditētām struktūrām saskaņā ar 43. panta 6. punktu un par akreditētiem pārziņiem un apstrādātājiem, kas veic uzņēmējdarbību trešās valstīs, saskaņā ar 42. panta 7. punktu;

p)	precizē prasības, kas minētas 43. panta 3. punktā, lai akreditētu sertifikācijas struktūras saskaņā ar 42. pantu;

q)	sniedz Komisijai atzinumu par 43. panta 8. punktā minētajām sertifikācijas prasībām;

r)	sniedz Komisijai atzinumu par 12. panta 7. punktā minētajām ikonām;

sniedz Komisijai atzinumu, lai novērtētu aizsardzības līmeņa pietiekamību trešā valstī vai starptautiskā organizācijā, tostarp lai novērtētu to, vai trešā valstī, teritorijā vai vienā vai vairākos konkrētos sektoros minētajā trešā valstī, vai starptautiskā organizācijā vairs netiek nodrošināts pietiekams aizsardzības līmenis. Šim nolūkam Komisija sniedz kolēģijai visu nepieciešamo dokumentāciju, tostarp saraksti ar trešās valsts valdību, attiecībā uz minēto trešo valsti, teritoriju vai konkrētu sektoru, vai starptautisku organizāciju;

t)	sniedz atzinumus par uzraudzības iestāžu lēmumiem saskaņā ar 64. panta 1. punktā minēto konsekvences mehānismu un par jautājumiem, kas iesniegti saskaņā ar 64. panta 2. punktu, un izdod saistošus lēmumus saskaņā ar 65. pantu, tostarp 66. pantā minētajos gadījumos;

u)	veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un paraugpraksi starp uzraudzības iestādēm;

v)	veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm un attiecīgā gadījumā ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm;

w)	veicina zināšanu un dokumentācijas apmaiņu par datu aizsardzības tiesību aktiem un praksi ar uzraudzības iestādēm visā pasaulē;

x)	sniedz atzinumus par Savienības līmenī izstrādātiem rīcības kodeksiem saskaņā ar 40. panta 9. punktu; un

y)	uztur publiski pieejamu elektronisku reģistru ar uzraudzības iestāžu un tiesu pieņemtiem lēmumiem par jautājumiem, kas risināti ar konsekvences mehānismu.

2. Ja Komisija lūdz kolēģijas padomu, tā var noteikt termiņu, ņemot vērā lietas steidzamību.

3. Kolēģija savus atzinumus, pamatnostādnes, ieteikumus un paraugpraksi nosūta Komisijai un 93. pantā norādītajai komitejai un publisko tos.

4. Kolēģija attiecīgā gadījumā apspriežas ar ieinteresētajām personām un dod tām iespēju saprātīgā termiņā izteikties. Kolēģija, neskarot 76. pantu, dara publiski pieejamus apspriešanās procedūras rezultātus.

88. pants

Apstrāde saistībā ar nodarbinātību

1. Ar tiesību aktiem vai ar koplīgumiem dalībvalstis var paredzēt konkrētākus noteikumus, lai nodrošinātu tiesību un brīvību aizsardzību attiecībā uz darbinieku personas datu apstrādi saistībā ar nodarbinātību, jo īpaši darbā pieņemšanas nolūkos, darba līguma izpildei, ietverot likumā vai koplīgumā paredzētu saistību izpildi, darba vadībai, plānošanai un organizēšanai, vienlīdzībai un daudzveidībai darbavietā, veselībai un drošībai darbavietā, darba devēja vai klienta īpašuma aizsardzībai un individuālu vai kolektīvu ar nodarbinātību saistītu tiesību vai priekšrocību izmantošanas vai baudīšanas nolūkos un darba attiecību izbeigšanas nolūkos.

2. Minētie noteikumi ietver piemērotus un konkrētus pasākumus nolūkā aizsargāt datu subjekta cilvēka cieņu, leģitīmas intereses un pamattiesības, jo īpaši attiecībā uz apstrādes pārredzamību, personas datu nosūtīšanu uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, ietvaros un uzraudzības sistēmām darba vietā.

3. Katra dalībvalsts līdz 2018. gada 25. maijam paziņo Komisijai to tiesību aktu noteikumus, ko tā pieņem, ievērojot 1. punktu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

96. pants

Saistība ar iepriekš noslēgtiem nolīgumiem

Starptautiskie nolīgumi, kuri ietver personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām un kurus dalībvalstis ir noslēgušas pirms 2016. gada 24. maija, un kuri ir saskaņā ar Savienības tiesību aktiem, kas ir piemērojami pirms minētās dienas, paliek spēkā līdz brīdim, kad tie tiek grozīti, aizstāti vai atcelti.

97. pants

Komisijas ziņojumi

1. Komisija līdz 2020. gada 25. maijam un pēc tam reizi četros gados iesniedz šīs regulas novērtējuma un pārskata ziņojumus Eiropas Parlamentam un Padomei. Ziņojumus publisko.

2. Saistībā ar 1. punktā minētajiem novērtējumiem un pārskatiem Komisija jo īpaši pārbauda, kā tiek piemērota un darbojas:

a)	V nodaļa par personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām, jo īpaši attiecībā uz lēmumiem, kas pieņemti saskaņā ar šīs regulas 45. panta 3. punktu, un lēmumiem, kas pieņemti, balstoties uz Direktīvas 95/46/EK 25. panta 6. punktu;

b)	VII nodaļa par sadarbību un konsekvenci.

3. Piemērojot 1. punktu, Komisija var pieprasīt informāciju no dalībvalstīm un uzraudzības iestādēm.

4. Veicot 1. un 2. punktā minētos novērtējumus un pārskatīšanu, Komisija ņem vērā Eiropas Parlamenta un Padomes viedokļus un atzinumus, un tos, kas iegūti no citām attiecīgajām struktūrām vai avotiem.

5. Komisija, ja nepieciešams, iesniedz atbilstīgus priekšlikumus, lai grozītu šo regulu, jo īpaši ņemot vērā informācijas tehnoloģiju attīstību un progresu informācijas sabiedrībā.

99. pants

Stāšanās spēkā un piemērošana

1. Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

2. To piemēro no 2018. gada 25. maija.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Briselē, 2016. gada 27. aprīlī

Eiropas Parlamenta vārdā –

priekšsēdētājs

M. SCHULZ

Padomes vārdā –

priekšsēdētāja

J.A. HENNIS-PLASSCHAERT

(1) OV C 229, 31.7.2012., 90. lpp.

(2) OV C 391, 18.12.2012., 127. lpp.

(3) Eiropas Parlamenta 2014. gada 12. marta nostāja (Oficiālajā Vēstnesī vēl nav publicēta) un Padomes 2016. gada 8. aprīļa nostāja pirmajā lasījumā (Oficiālajā Vēstnesī vēl nav publicēta). Eiropas Parlamenta 2016. gada 14. aprīļa nostāja.

(4) Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV L 281, 23.11.1995., 31. lpp.).

(5) Komisijas 2003. gada 6. maija Ieteikums par mikrouzņēmumu, mazo un vidējo uzņēmumu definīciju (C(2003) 1422) (OV L 124, 20.5.2003., 36. lpp.).

(6) Eiropas Parlamenta un Padomes Regula (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001., 1. lpp.).

(7) Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (skatīt šā Oficiālā Vēstneša 89. lpp.).

(8) Eiropas Parlamenta un Padomes Direktīva 2000/31/EK (2000. gada 8. jūnijs) par dažiem informācijas sabiedrības pakalpojumu tiesiskiem aspektiem, jo īpaši elektronisko tirdzniecību, iekšējā tirgū (Direktīva par elektronisko tirdzniecību) (OV L 178, 17.7.2000., 1. lpp.).

(9) Eiropas Parlamenta un Padomes Direktīva 2011/24/ES (2011. gada 9. marts) par pacientu tiesību piemērošanu pārrobežu veselības aprūpē (OV L 88, 4.4.2011., 45. lpp.).

(10) Padomes Direktīva 93/13/EEK (1993. gada 5. aprīlis) par negodīgiem noteikumiem patērētāju līgumos (OV L 95, 21.4.1993., 29. lpp.).

(11) Eiropas Parlamenta un Padomes Regula (EK) Nr. 1338/2008 (2008. gada 16. decembris) attiecībā uz Kopienas statistiku par sabiedrības veselību un veselības aizsardzību un drošību darbā (OV L 354, 31.12.2008., 70. lpp.).

(12) Eiropas Parlamenta un Padomes Regula (ES) Nr. 182/2011 (2011. gada 16. februāris), ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu (OV L 55, 28.2.2011., 13. lpp.).

(13) Eiropas Parlamenta un Padomes Regula (ES) Nr. 1215/2012 (2012. gada 12. decembris) par jurisdikciju un spriedumu atzīšanu un izpildi civillietās un komerclietās (OV L 351, 20.12.2012., 1. lpp.).

(14) Eiropas Parlamenta un Padomes Direktīva 2003/98/EK (2003. gada 17. novembris) par valsts sektora informācijas atkalizmantošanu (OV L 345, 31.12.2003., 90. lpp.).

(15) Eiropas Parlamenta un Padomes Regula (ES) Nr. 536/2014 (2014. gada 16. aprīlis) par cilvēkiem paredzētu zāļu klīniskajām pārbaudēm un ar ko atceļ Direktīvu 2001/20/EK (OV L 158, 27.5.2014., 1. lpp.).

(16) Eiropas Parlamenta un Padomes Regula (EK) Nr. 223/2009 (2009. gada 11. marts) par Eiropas statistiku un ar ko atceļ Eiropas Parlamenta un Padomes Regulu (EK, Euratom) Nr. 1101/2008 par tādas statistikas informācijas nosūtīšanu Eiropas Kopienu Statistikas birojam, uz kuru attiecas konfidencialitāte, Padomes Regulu (EK) Nr. 322/97 par Kopienas statistiku un Padomes Lēmumu 89/382/EEK, Euratom, ar ko nodibina Eiropas Kopienu Statistikas programmu komiteju (OV L 87, 31.3.2009., 164. lpp.).

(17) OV C 192, 30.6.2012., 7. lpp.

(18) Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV L 201, 31.7.2002., 37. lpp.).

(19) Eiropas Parlamenta un Padomes Direktīva (ES) 2015/1535 (2015. gada 9. septembris), ar ko nosaka informācijas sniegšanas kārtību tehnisko noteikumu un Informācijas sabiedrības pakalpojumu noteikumu jomā (OV L 241, 17.9.2015., 1. lpp.).

(20) Eiropas Parlamenta un Padomes Regula (EK) 765/2008 (2008. gada 9. jūlijs), ar ko nosaka akreditācijas un tirgus uzraudzības prasības attiecībā uz produktu tirdzniecību un atceļ Regulu (EEK) Nr. 339/93 (OV L 218, 13.8.2008., 30. lpp.).

(21) Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (2001. gada 30. maijs) par publisku piekļuvi Eiropas Parlamenta, Padomes un Komisijas dokumentiem (OV L 145, 31.5.2001., 43. lpp.).

whereas

(48) Pārziņiem, kas ir uzņēmumu grupas daļa vai kādai centrālai struktūrai radniecīgas iestādes, var būt leģitīmas intereses personas datus nosūtīšanā citiem grupas uzņēmumiem iekšējos administratīvos nolūkos, tostarp klientu vai darba ņēmēju personas datu apstrādei.
Neskarti saglabājas vispārējie principi par uzņēmumu grupas iekšienē veiktu personas datu nosūtīšanu kādam uzņēmumam, kas atrodas trešā valstī.

- = -

(101) Personas datu plūsmas uz valstīm ārpus Savienības un starptautiskām organizācijām un no tām ir vajadzīgas starptautiskās tirdzniecības un starptautiskās sadarbības paplašināšanai. Šādu plūsmu palielināšanās ir radījusi jaunas problēmas un bažas par personas datu aizsardzību.
Taču gadījumos, kad personas dati no Savienības tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskām organizācijām, aizsardzības līmenim, ko šī regula nodrošina fiziskām personām Savienībā, nebūtu jāsamazinās, tostarp gadījumos, kad personas dati no trešās valsts vai starptautiskās organizācijas tiek nosūtīti tālāk pārziņiem, apstrādātājiem tajā pašā vai citā trešā valstī vai starptautiskā organizācijā.
Jebkurā gadījumā nosūtīt datus uz trešām valstīm un starptautiskām organizācijām var tikai tad, ja tiek pilnībā ievēroti šīs regulas noteikumi.
Nosūtīšana varētu notikt tikai tad, ja, ņemot vērā pārējos šīs regulas noteikumus, pārzinis vai apstrādātājs ievēro šīs regulas noteikumus attiecībā uz personas datu nosūtīšanu trešām valstīm vai starptautiskām organizācijām.

- = -

(102) Šī regula neskar starptautiskus nolīgumus, kas noslēgti starp Savienību un trešām valstīm un ar ko regulē personas datu nosūtīšanu, tostarp paredz atbilstošas garantijas datu subjektiem.
Dalībvalstis var slēgt starptautiskus nolīgumus, kas ietver personas datu nosūtīšanu trešām valstīm vai starptautiskām organizācijām, ciktāl šādi nolīgumi neietekmē šo regulu vai jebkādus citus Savienības tiesību aktu noteikumus un ciktāl tie ietver datu subjektu pamattiesību aizsardzību atbilstošā līmenī.

- = -

(107) Komisija var atzīt, ka trešā valsts, kāda teritorija vai konkrēts sektors trešā valstī, vai starptautiska organizācija vairs nenodrošina pietiekamu datu aizsardzības līmeni.
Līdz ar to personas datu nosūtīšana uz šo trešo valsti vai starptautisko organizāciju būtu jāaizliedz, ja vien nav izpildītas šīs regulas prasības attiecībā uz nosūtīšanu, kam piemēro atbilstošas garantijas, tostarp saistošus uzņēmuma noteikumus, un atkāpēm īpašās situācijās. Šādā gadījumā būtu jāparedz noteikumi par apspriešanās procesu starp Komisiju un šādu trešo valsti vai starptautisko organizāciju.
Komisijai būtu laikus jāinformē attiecīgā trešā valsts vai starptautiskā organizācija par iemesliem un jāapspriežas ar to, lai šo situāciju atrisinātu.

- = -

(108) Kamēr lēmums par aizsardzības līmeņa pietiekamību nav pieņemts, pārzinim vai apstrādātājam būtu jāveic pasākumi, kas kompensētu datu aizsardzības trūkumus trešā valstī, paredzot atbilstošas garantijas datu subjektam. Šādas atbilstošas garantijas varētu nozīmēt, ka tiek izmantoti saistošie uzņēmuma noteikumi, Komisijas pieņemtās standarta datu aizsardzības klauzulas, uzraudzības iestādes pieņemtās standarta datu aizsardzības klauzulas vai uzraudzības iestādes apstiprinātās līguma klauzulas.
Minētajām garantijām būtu jānodrošina, lai tiktu ievērotas datu aizsardzības prasības un datu subjektu tiesības atbilstīgi Savienībā veiktai apstrādei, tostarp īstenojamu datu subjekta tiesību un efektīvu tiesiskās aizsardzības līdzekļu pieejamība, ieskaitot iespēju saņemt efektīvu aizsardzību administratīvā kārtā vai tiesā un pieprasīt kompensāciju Savienībā un trešā valstī.
Tiem jo īpaši būtu jāattiecas uz atbilstību vispārīgiem principiem, kuri saistīti ar personas datu apstrādi, un “integrētas datu aizsardzības” un “datu aizsardzības pēc noklusējuma” principiem.
Arī publiskās iestādes vai struktūras var veikt datu nosūtīšanu uz trešo valstu publiskām iestādēm vai struktūrām vai starptautiskām organizācijām, kurām ir atbilstoši pienākumi vai funkcijas, tostarp pamatojoties uz noteikumiem, kuri iekļaujami administratīvos pasākumos, piemēram, saprašanās memorandā, datu subjektiem paredzot īstenojamas un efektīvas tiesības.
Ja garantijas ir paredzētas administratīvos noteikumos, kas nav juridiski saistoši, būtu jāsaņem kompetentās uzraudzības iestādes atļauja.

- = -

(112) Šīm atkāpēm jo īpaši būtu jāattiecas uz datu nosūtīšanu, ko pieprasa un kas ir vajadzīga saistībā ar svarīgiem sabiedrības interešu iemesliem, piemēram, kad starptautiska datu apmaiņa notiek starp konkurences iestādēm, nodokļu vai muitas pārvaldēm, finanšu uzraudzības iestādēm, dienestiem, kuru kompetencē ir sociālā nodrošinājuma vai sabiedrības veselības jautājumi, piemēram, ja runa ir par kontaktu izsekojumu lipīgo slimību gadījumā vai lai samazinātu un/vai novērstu dopingu sportā.
Personas datu nosūtīšana būtu arī uzskatāma par likumīgu, ja tā ir nepieciešama, lai aizsargātu kādu no interesēm, kas ir būtiskas datu subjekta vai citas personas vitālām interesēm, tostarp fiziskajai veselībai vai dzīvībai, ja datu subjekts nav spējīgs dot savu piekrišanu.
Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības vai dalībvalsts tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai.
Dalībvalstīm par šādiem lēmumiem būtu jāpaziņo Komisijai.
Varētu uzskatīt, ka jebkādu datu subjekta, kurš fiziski vai juridiski nevar dot piekrišanu, personas datu nosūtīšana starptautiskai humanitārai organizācijai ar mērķi izpildīt uzdevumu saskaņā ar Ženēvas konvencijām vai ievērot starptautiskās humanitārās tiesības, kas piemērojamas bruņotos konfliktos, ir nepieciešama svarīgu iemeslu dēļ sabiedrības interesēs vai tāpēc, ka tas ir datu subjekta vitālās interesēs.

- = -

(113) Nosūtīšana, ko var kvalificēt kā tādu, kas neatkārtojas un kas tikai attiecas uz ierobežotu datu subjektu skaitu, varētu būt iespējama arī, pamatojoties uz pārziņa pārliecinošām leģitīmām interesēm, kad minētās intereses ir svarīgākas par datu subjekta interesēm vai tiesībām un brīvībām un kad pārzinis ir novērtējis visus ar datu nosūtīšanu saistītos apstākļus.
Pārzinim būtu īpaši jāapsver personas datu būtība, ierosinātās apstrādes darbības vai darbību nolūks un ilgums, kā arī situācija datu izcelsmes valstī, trešā valstī un galamērķa valstī un būtu jānodrošina piemērotas garantijas fizisku personu pamattiesību un pamatbrīvību aizsardzībai attiecībā uz viņu personas datu apstrādi. Šādai nosūtīšanai vajadzētu būt iespējamai tikai atsevišķos gadījumos, ja nepiemēro nevienu no pārējiem iemesliem attiecībā uz nosūtīšanu.
Zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos būtu jāņem vērā, ka sabiedrībai ir leģitīmas tiesības sagaidīt zināšanu uzlabošanos.
Pārzinim būtu jāinformē uzraudzības iestāde un datu subjekts par minēto nosūtīšanu.

- = -

(153) Dalībvalstu tiesību aktos būtu jāsaglabā līdzsvars starp noteikumiem, ar kuriem reglamentē vārda un informācijas brīvību, tostarp žurnālistu izteiksmes, akadēmiskās, mākslinieciskās vai literārās izpausmes brīvību, un tiesībām uz personas datu aizsardzību saskaņā ar šo regulu.
Uz personas datu apstrādi tikai žurnālistikas vajadzībām vai akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām būtu jāattiecas atkāpēm vai izņēmumiem no atsevišķiem šīs regulas noteikumiem, ja tas vajadzīgs, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un tiesībām uz vārda un informācijas brīvību un jo īpaši tiesībām saņemt un sniegt informāciju, kā tas ietverts hartas 11. pantā.
Tas būtu jo īpaši jāpiemēro personas datu apstrādei audiovizuālajā jomā un ziņu arhīvos, un preses bibliotēkās.
Tāpēc dalībvalstīm būtu jāpieņem leģislatīvi pasākumi, kuros noteikti izņēmumi un atkāpes, kas ir nepieciešamas minēto pamattiesību līdzsvara nodrošināšanai.
Dalībvalstīm būtu jāpieņem šādi izņēmumi un atkāpes par vispārīgajiem principiem, datu subjektu tiesībām, pārziņiem un apstrādātājiem, personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām, neatkarīgām uzraudzības iestādēm, sadarbību un konsekvenci un par īpašām datu apstrādes situācijām.
Ja šādi izņēmumi vai atkāpes dažādās dalībvalstīs ir atšķirīgi, būtu jāpiemēro tās dalībvalsts tiesību akti, kuri attiecas uz pārzini.
Lai vārda brīvības īpaši svarīgā loma katrā demokrātiskā sabiedrībā būtu pietiekami ņemta vērā, jēdzieni, kas saistīti ar šo brīvību, piemēram, jēdziens “žurnālistika”, ir jāinterpretē plaši.

- = -

dal 2004 diritto e informatica