interactive GDPR 2016/0679 LV

“personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

“apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

3)	“apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;

“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos;

“pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisku personu;

6)	“kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju;

“pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos;

8)	“apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;

“saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;

10)	“trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;

11)	datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;

12)	“personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

13)	“ģenētiskie dati” ir personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes;

14)	“biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati;

15)	“veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;

16)

“galvenā uzņēmējdarbības vieta”:

attiecībā uz pārzini, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, ja vien lēmumi par personas datu apstrādes nolūkiem un līdzekļiem netiek pieņemti citā pārziņa uzņēmējdarbības vietā Savienībā un ja vien šai citai uzņēmējdarbības vietai nav šādu lēmumu īstenošanas pilnvaru – tādā gadījumā par galveno uzņēmējdarbības vietu uzskata to uzņēmējdarbības vietu, kurā pieņemti šādi lēmumi;

attiecībā uz apstrādātāju, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, vai, ja apstrādātājam nav galvenās pārvaldes Savienībā, – apstrādātāja uzņēmējdarbības vieta Savienībā, kur notiek galvenās apstrādes darbības saistībā ar apstrādātāja uzņēmējdarbības vietas darbībām, ciktāl uz apstrādātāju attiecas šajā regulā paredzētie konkrētie pienākumi;

17)	“pārstāvis” ir fiziska vai juridiska persona, kura veic uzņēmējdarbību Savienībā un kuru pārzinis vai apstrādātājs ir iecēlis rakstiski saskaņā ar 27. pantu, un kura pārstāv pārzini vai apstrādātāju saistībā ar to attiecīgajiem pienākumiem, kas paredzēti šajā regulā;

18)	“uzņēmums” ir fiziska vai juridiska persona, kas veic saimniecisku darbību, neatkarīgi no tās juridiskā statusa, tostarp partnerības vai apvienības, kas regulāri veic saimniecisku darbību;

19)	“uzņēmumu grupa” ir kontrolējošais uzņēmums un tā kontrolētie uzņēmumi;

20)

“saistošie uzņēmuma noteikumi” ir personas datu aizsardzības vadlīnijas, ko stingri ievēro pārzinis vai apstrādātājs, kas veic uzņēmējdarbību dalībvalsts teritorijā, attiecībā uz personas datu nosūtīšanu vai vairākkārtēju nosūtīšanu pārzinim vai apstrādātājam vienā vai vairākās trešās valstīs uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā;

21)	“uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot51. pantu;

22)

“attiecīgā uzraudzības iestāde” ir uzraudzības iestāde, uz kuru personas datu apstrāde attiecas tāpēc, ka:

a)	pārzinis vai apstrādātājs veic uzņēmējdarbību minētās uzraudzības iestādes dalībvalsts teritorijā;

b)	apstrāde būtiski ietekmē vai var būtiski ietekmēt datu subjektus, kas dzīvo minētās uzraudzības iestādes dalībvalstī; vai

c)	sūdzība ir iesniegta minētajai uzraudzības iestādei;

23)

“pārrobežu apstrāde” ir vai nu:

a)	personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja uzņēmējdarbības vietās vairāk nekā vienā dalībvalstī, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī; vai

b)	personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja vienīgajā uzņēmējdarbības vietā, bet kas būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī;

24)

“būtisks un motivēts iebildums” ir iebildums lēmuma projektam par to, vai šī regula ir pārkāpta, vai par to, vai iecerētā darbība attiecībā uz pārzini vai apstrādātāju atbilst šai regulai, skaidri parādot to risku nozīmīgumu, ko lēmuma projekts rada datu subjektu pamattiesībām un pamatbrīvībām un attiecīgā gadījumā – personas datu brīvai apritei Savienībā;

25)	“informācijas sabiedrības pakalpojums” ir pakalpojums, kā definēts Eiropas Parlamenta un Padomes Direktīvas (ES) 2015/1535 (19) 1. panta 1. punkta b) apakšpunktā;

26)	“starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāku valstu nolīgumu vai uz tā pamata.

II NODAĻA

Principi

12. pants

Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība

1. Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 13. un 14. pantā minēto informāciju un nodrošinātu visu 15.–22. pantā un 34. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā.

2. Pārzinis veicina datu subjekta tiesību īstenošanu saskaņā ar 15.–22. pantu. Regulas 11. panta 2. punktā minētajos gadījumos pārzinis neatsakās rīkoties pēc datu subjekta pieprasījuma par savu tiesību īstenošanu saskaņā ar 15.–22. pantu, izņemot gadījumus, kad pārzinis uzskatāmi parāda, ka nespēj identificēt datu subjektu.

3. Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu informē par darbību, kas pēc pieprasījuma veikta saskaņā ar 15.–22. pantu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi.

4. Ja pārzinis neveic darbību, ko pieprasījis datu subjekts, pārzinis bez kavēšanās un vēlākais mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par darbības neveikšanas iemesliem un par iespēju iesniegt sūdzību uzraudzības iestādei un vērsties tiesā.

5. Informācija, ko sniedz saskaņā ar 13. un 14. pantu, un visa saziņa un visas darbības, ko īsteno saskaņā ar 15.–22. pantu un 34. pantu, ir bezmaksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var vai nu:

a)	pieprasīt saprātīgu maksu, ņemot vērā administratīvās izmaksas, kas saistītas ar informācijas vai saziņas nodrošināšanu vai pieprasītās darbības veikšanu; vai arī

b)	atteikties izpildīt pieprasījumu.

Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

6. Neskarot 11. pantu – ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 15.–21. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.

7. Informāciju, kas datu subjektiem sniedzama, ievērojot 13. un 14. pantu, var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tās ir mašīnlasāmas.

8. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 92. pantu, lai noteiktu informāciju, kas sniedzama, izmantojot ikonas, un procedūras standartizētu ikonu nodrošināšanai.

2. iedaļa

Informācija un piekļuve personas datiem

13. pants

Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta

1. Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:

a)	pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija;

b)	attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;

c)	apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;

d)	pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu;

e)	personas datu saņēmēji vai saņēmēju kategorijas, ja tādi ir;

attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 46. vai 47. pantā, vai 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami;

2. Papildus 1. punktā minētajai informācijai pārzinis personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi:

a)	laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

b)	tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;

c)	ja apstrāde pamatojas uz 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;

d)	tiesības iesniegt sūdzību uzraudzības iestādei;

e)	informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu, vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;

f)	tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

3. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.

4. Šā panta 1., 2. un 3. punktu nepiemēro, ja un ciktāl datu subjekta rīcībā jau ir attiecīgā informācija.

15. pants

Datu subjekta piekļuves tiesības

1. Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:

a)	apstrādes nolūki;

b)	attiecīgo personas datu kategorijas;

c)	personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;

d)	ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;

e)	tas, ka pastāv tiesības pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu, vai personas datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi;

f)	tiesības iesniegt sūdzību uzraudzības iestādei;

g)	visa pieejamā informācija par datu avotu, ja personas dati netiek vākti no datu subjekta;

h)	tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.

2. Ja personas datus nosūta trešai valstij vai starptautiskai organizācijai, datu subjektam ir tiesības saņemt informāciju par atbilstošām garantijām, ko saistībā ar datu nosūtīšanu piemēro, ievērojot 46. pantu.

3. Pārzinis nodrošina apstrādē esošo personas datu kopiju. Par visām papildus kopijām, ko pieprasa datu subjekts, pārzinis var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā un ja vien datu subjekts nepieprasa citādi, informāciju sniedz plaši izmantotā elektroniskā formātā.

4. Tiesības saņemt 3. punktā minēto kopiju neietekmē nelabvēlīgi citu personu tiesības un brīvības.

3. iedaļa

Labošana un dzēšana

17. pants

Tiesības uz dzēšanu (tiesības “tikt aizmirstam”)

1. Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem:

a)	personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti;

b)	datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde saskaņā ar 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu, un ja nav cita likumīga pamata apstrādei;

c)	datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 1. punktu, un apstrādei nav nekāda svarīgāka leģitīma pamata, vai arī datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 2. punktu;

d)	personas dati ir apstrādāti nelikumīgi;

e)	personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts juridisks pienākums, kas noteikts Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim;

f)	personas dati ir savākti saistībā ar informācijas sabiedrības pakalpojumu piedāvāšanu, kā minēts 8. panta 1. punktā.

2. Ja pārzinis ir publiskojis personas datus un tā pienākums saskaņā ar 1. punktu ir minētos personas datus dzēst, pārzinis, ņemot vērā pieejamo tehnoloģiju un tās piemērošanas izmaksas, veic saprātīgus pasākumus, tostarp tehniskus pasākumus, lai informētu pārziņus, kas veic personas datu apstrādi, ka datu subjekts ir pieprasījis, lai minētie pārziņi dzēstu visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumus.

3. Šā panta 1. un 2. punktu nepiemēro, ciktāl apstrāde ir nepieciešama:

a)	lai īstenotu tiesības uz vārda brīvību un informāciju;

b)	lai izpildītu juridisku pienākumu, kas prasa veikt apstrādi, kā paredzēts Savienības vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu;

c)	pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā saskaņā ar 9. panta 2. punkta h) un i) apakšpunktu, kā arī 9. panta 3. punktu;

d)	arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, ciktāl 1. punktā minētās tiesības varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus; vai

e)	lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

25. pants

Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma

1. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, kurus rada apstrāde, pārzinis gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt šīs regulas prasības un aizsargāt datu subjektu tiesības.

2. Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam.

3. Apstiprināts sertifikācijas mehānisms atbilstoši 42. pantam var tikt izmantots kā elements, ar ko apliecina atbilstību šā panta 1. un 2. punktā izklāstītajām prasībām.

29. pants

Apstrāde pārziņa vai apstrādātāja pakļautībā

Apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, neapstrādā minētos datus citādi, kā vien saskaņā ar pārziņa norādījumiem, ja vien to darīt nepieprasa Savienības vai dalībvalsts tiesību akti.

31. pants

Sadarbība ar uzraudzības iestādi

Pārzinis un apstrādātājs un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma sadarbojas ar uzraudzības iestādi tās uzdevumu izpildē.

2. iedaļa

Personas datu drošība

32. pants

Apstrādes drošība

1. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā:

a)	personas datu pseidonimizāciju un šifrēšanu;

b)	spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;

c)	spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;

d)	procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, izvērtēšanai un novērtēšanai, lai nodrošinātu apstrādes drošību.

2. Novērtējot atbilstīgo drošības līmeni, ņem vērā jo īpaši riskus, ko rada apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

3. Atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. punktā izklāstīto prasību izpildi.

4. Pārzinis un apstrādātājs veic pasākumus, lai nodrošinātu, ka jebkura fiziska persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, tos neapstrādā bez pārziņa norādījumiem, izņemot, ja minētajai personai tas jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem.

34. pants

Datu subjekta informēšana par personas datu aizsardzības pārkāpumu

1. Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.

2. Paziņojumā datu subjektam, kas minēts šā panta 1. punktā, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 33. panta 3. punkta b), c) un d) apakšpunktā paredzēto informāciju un pasākumus.

3. Paziņojums datu subjektam, kā minēts 1. punktā, nav jāsniedz, ja tiek izpildīts jebkurš no šādiem nosacījumiem:

pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana;

b)	pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām;

c)	tas prasītu nesamērīgi lielas pūles. Šādā gadījumā tā vietā izmanto publisku saziņu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.

4. Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, uzraudzības iestāde, apsvērusi iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīti visi 3. punktā minētie nosacījumi.

3. iedaļa

Novērtējums par ietekmi uz datu aizsardzību un iepriekšēja apspriešanās

36. pants

Iepriekšēja apspriešanās

1. Pārzinis pirms apstrādes apspriežas ar uzraudzības iestādi, ja novērtējumā par ietekmi uz datu aizsardzību saskaņā ar 35. pantu ir norādīts, ka gadījumā, ja pārzinis neveiktu pasākumus riska mazināšanai, apstrāde radītu augstu risku.

2. Ja uzraudzības iestāde uzskata, ka 1. punktā minētā plānotā apstrāde pārkāptu šo regulu, jo īpaši, ja pārzinis nav pietiekami identificējis vai mazinājis risku, uzraudzības iestāde laikposmā līdz astoņām nedēļām no pieprasījuma par apspriešanos saņemšanas sniedz pārzinim un attiecīgā gadījumā apstrādātajam rakstisku padomu un var izmantot savas 58. pantā minētās pilnvaras. Minēto laikposmu var pagarināt par sešām nedēļām, ņemot vērā plānotās apstrādes sarežģītību. Uzraudzības iestāde informē pārzini un attiecīgā gadījumā apstrādātāju par jebkādu šādu pagarinājumu viena mēneša laikā pēc pieprasījuma par apspriešanos saņemšanas, norādot kavēšanās iemeslus. Minētos laikposmus var apturēt līdz brīdim, kamēr uzraudzības iestāde saņem informāciju, ko tā pieprasījusi apspriešanās nolūkiem.

3. Apspriežoties ar uzraudzības iestādi saskaņā ar 1. punktu, pārzinis iesniedz uzraudzības iestādei:

a)	attiecīgā gadījumā pārziņa, kopīgu pārziņu un apstrādē iesaistīto apstrādātāju attiecīgos pienākumus, jo īpaši, lai veiktu apstrādi uzņēmumu grupā;

b)	paredzētās apstrādes nolūkus un līdzekļus;

c)	pasākumus un garantijas, lai nodrošinātu datu subjektu tiesību un brīvību aizsardzību saskaņā ar šo regulu;

d)	attiecīgā gadījumā datu aizsardzības speciālista kontaktinformāciju;

e)	35. pantā paredzēto novērtējumu par ietekmi uz datu aizsardzību; un

f)	jebkādu citu uzraudzības iestādes prasītu informāciju.

4. Dalībvalstis apspriežas ar uzraudzības iestādi, kamēr tiek gatavots priekšlikums leģislatīvam pasākumam, ko pieņems valsts parlaments, vai regulatīvs pasākums, kas balstās uz šādu leģislatīvu pasākumu, kurš attiecas uz apstrādi.

5. Neatkarīgi no 1. punkta – dalībvalsts tiesību aktos var būt noteikts, ka pārziņiem ir jāapspriežas ar uzraudzības iestādi un jāsaņem no tās iepriekšēja atļauja saistībā ar apstrādi, ko veic pārzinis, lai izpildītu sabiedrības interesēs īstenojamu uzdevumu, tostarp, kad minēto apstrādi veic saistībā ar sociālo aizsardzību un sabiedrības veselību.

4. iedaļa

Datu aizsardzības speciālists

39. pants

Datu aizsardzības speciālista uzdevumi

1. Datu aizsardzības speciālistam ir vismaz šādi uzdevumi:

a)	informēt un konsultēt pārzini vai apstrādātāju un darbiniekus, kuri veic apstrādi, par viņu pienākumiem saskaņā ar šo regulu un ar citiem Savienības vai dalībvalstu noteikumiem par datu aizsardzību;

uzraudzīt, vai tiek ievērota šī regula, citi Savienības vai dalībvalstu noteikumi par datu aizsardzību un pārziņa vai apstrādātāja politika saistībā ar personas datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām;

c)	pēc pieprasījuma sniegt padomus attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar 35. pantu;

d)	sadarboties ar uzraudzības iestādi;

e)	būt par uzraudzības iestādes kontaktpunktu jautājumos, kas saistīti ar apstrādi, tostarp 36. pantā minēto iepriekšējo apspriešanos, un attiecīgā gadījumā konsultēt par jebkuru citu jautājumu.

2. Datu aizsardzības speciālists, pildot savus uzdevumus, pienācīgi ņem vērā ar apstrādes darbībām saistīto risku, ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūku.

5. iedaļa

Rīcības kodeksi un sertifikācija

41. pants

Apstiprināto rīcības kodeksu pārraudzība

1. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras, kas minēti 57. un 58. pantā, rīcības kodeksa ievērošanas pārraudzību saskaņā ar 40. pantu var veikt struktūra, kura pienācīgi pārzina kodeksa tematiku un kuru minētajam nolūkam ir akreditējusi kompetentā uzraudzības iestāde.

2. Šā panta 1. punktā paredzēto struktūru var akreditēt, lai pārraudzītu atbilstību rīcības kodeksam, ja minētā struktūra:

a)	kompetentajai uzraudzības iestādei ir uzskatāmi parādījusi, ka darbojas neatkarīgi un pārzina kodeksa tematiku;

b)	ir izstrādājusi kārtību, kas tai ļauj novērtēt, vai attiecīgie pārziņi un apstrādātāji ir tiesīgi piemērot attiecīgo kodeksu, un pārraudzīt, kā tie ievēro kodeksa noteikumus, kā arī periodiski pārskatīt kodeksa darbību;

c)	ir izstrādājusi kārtību un izveidojusi struktūras, lai izskatītu sūdzības par attiecīgā kodeksa pārkāpumiem vai to, kā pārzinis vai apstrādātājs ir īstenojis vai īsteno kodeksu, un lai nodrošinātu, ka minētā kārtība un struktūras ir datu subjektiem un sabiedrībai pārredzamas; un

d)	ir kompetentajai uzraudzības iestādei uzskatāmi parādījusi, ka tās uzdevumi un pienākumi nerada interešu konfliktu.

3. Kompetentā uzraudzības iestāde kolēģijai iesniedz projektu par šā panta 1. punktā minētās struktūras akreditēšanas kritērijiem saskaņā ar 63. pantā minēto konsekvences mehānismu.

4. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras un VIII nodaļā paredzētos noteikumus, šā panta 1. punktā minētā struktūra, ievērojot atbilstošas garantijas, atbilstīgi rīkojas gadījumos, kad pārzinis vai apstrādātājs izdara attiecīgā kodeksa pārkāpumu, tostarp tā uz laiku vai pavisam izslēdz pārzini vai apstrādātāju no attiecīgā kodeksa. Struktūra informē kompetento uzraudzības iestādi par minētajām darbībām un to veikšanas iemesliem.

5. Kompetentā uzraudzības iestāde atsauc 1. punktā minētās struktūras akreditāciju, ja nav izpildīti vai vairs netiek pildīti akreditācijas nosacījumi vai ja struktūras veiktās darbības pārkāpj šo regulu.

6. Šo pantu nepiemēro apstrādei, ko veic publiskas iestādes un struktūras.

42. pants

Sertifikācija

1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina, jo īpaši Savienības līmenī, izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst šai regulai. Ņem vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2. Papildus tam, ka saskaņā ar šā panta 5. punktu apstiprinātus datu aizsardzības sertifikācijas mehānismus, zīmogus vai marķējumus izmanto pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var izmantot, lai pierādītu, ka pārziņi vai apstrādātāji, uz kuriem, ievērojot 3. pantu, šī regula neattiecas, ir nodrošinājuši atbilstošas garantijas, ko piemēro datu nosūtīšanai uz trešām valstīm vai starptautiskajām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta f) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

3. Sertifikācija ir brīvprātīga un pieejama procesā, kas ir pārredzams.

4. Sertifikācija, ko veic saskaņā ar šo pantu, nemazina pārziņa vai apstrādātāja atbildību attiecībā uz šīs regulas ievērošanu, un tā neskar uzraudzības iestāžu, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, uzdevumus un pilnvaras.

5. Šajā pantā paredzētu sertifikātu izdod 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde, pamatojoties uz kritērijiem, ko – ievērojot 58. panta 3. punktu – apstiprinājusi minētā kompetentā uzraudzības iestāde vai – ievērojot 63. pantu – kolēģija. Ja kritērijus apstiprinājusi kolēģija, var izdot kopīgu sertifikātu – Eiropas datu aizsardzības zīmogu.

6. Pārzinis vai apstrādātājs, kas savas apstrādes darbības pakļauj minētajam sertifikācijas mehānismam, sniedz visu informāciju 43. pantā paredzētajai sertifikācijas struktūrai vai attiecīgā gadījumā kompetentajai uzraudzības iestādei un nodrošina piekļuvi savām apstrādes darbībām, kas vajadzīga, lai veiktu minēto sertifikācijas procedūru.

7. Sertifikātu pārzinim vai apstrādātājam izdod uz laikposmu, kas nepārsniedz trīs gadus, un to var atjaunot ar tādiem pašiem nosacījumiem, ar noteikumu, ka attiecīgās prasības joprojām ir izpildītas. Attiecīgā gadījumā 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde atsauc sertifikātu, ja sertifikācijas prasības nav izpildītas vai vairs netiek pildītas.

8. Kolēģija visus sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot jebkādus piemērotus līdzekļus.

43. pants

Sertifikācijas struktūras

1. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras saskaņā ar 57. un 58. pantu, sertifikātu izdod un atjauno sertifikācijas struktūras, kam ir atbilstīgas specializētās zināšanas datu aizsardzības jomā, pēc tam, kad tās ir informējušas uzraudzības iestādi, lai tā vajadzības gadījumā varētu īstenot savas pilnvaras saskaņā ar 58. panta 2. punkta h) apakšpunktu. Dalībvalstis nodrošina, ka minētās sertifikācijas struktūras akreditē viena vai abas no turpmāk minētajām:

a)	uzraudzības iestāde, kas ir kompetenta, ievērojot 55. vai 56. pantu;

b)	valsts akreditācijas struktūra, kas norādīta saskaņā ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 765/2008 (20) atbilstīgi EN-ISO/IEC 17065/2012 un papildu prasībām, ko paredzējusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu.

2. Šā panta 1. punktā minētās sertifikācijas struktūras akreditē saskaņā ar minēto punktu tikai tad, ja tās:

a)	kompetentajai uzraudzības iestādei ir uzskatāmi parādījušas, ka darbojas neatkarīgi un pārzina sertifikācijas tematiku;

b)	ir apņēmušās ievērot 42. panta 5. punktā minētos kritērijus un to ir apstiprinājusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu, vai – ievērojot 63. pantu – kolēģija;

c)	ir izstrādājušas procedūru, kādā piešķir, periodiski pārskata un atsauc datu aizsardzības sertifikātu, zīmogus un marķējumus;

d)	ir izstrādājušas procedūru un izveidojušas struktūras, lai izskatītu sūdzības par attiecīgās sertifikācijas pārkāpumiem vai to, kā pārzinis vai apstrādātājs ir īstenojis vai īsteno sertifikāciju, un lai nodrošinātu, ka minētā procedūra un struktūras ir datu subjektiem un sabiedrībai pārredzamas; un

e)	kompetentajai uzraudzības iestādei ir uzskatāmi parādījušas, ka to uzdevumi un pienākumi nerada interešu konfliktu.

3. Šā panta 1. un 2. punktā minēto sertifikācijas struktūru akreditāciju veic, pamatojoties uz kritērijiem, ko apstiprinājusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu, vai kolēģija, ievērojot 63. pantu. Ja akreditāciju veic, ievērojot šā panta 1. punkta b) apakšpunktu, minētās prasības papildina prasības, kas paredzētas Regulā (EK) Nr. 765/2008, un tehniskos noteikumus, kuros aprakstītas sertifikācijas struktūru metodes un procedūras.

4. Šā panta 1. punktā minētās sertifikācijas struktūras ir atbildīgas par to, lai sertifikāts tiktu piešķirts vai šāds sertifikāts tiktu atsaukts pēc pienācīgi veikta novērtējuma, neskarot pārziņa vai apstrādātāja pienākumu ievērot šo regulu. Akreditāciju piešķir uz laikposmu, kas nepārsniedz piecus gadus, un to var atjaunot ar tādiem pašiem nosacījumiem ar noteikumu, ka sertifikācijas struktūra atbilst šajā pantā izklāstītajām prasībām.

5. Šā panta 1. punktā minētās sertifikācijas struktūras sniedz kompetentajām uzraudzības iestādēm informāciju par prasītā sertifikāta piešķiršanas vai atsaukšanas iemesliem.

6. Uzraudzības iestāde viegli pieejamā veidā publisko šā panta 3. punktā minētās prasības un 42. panta 5. punktā minētos kritērijus. Uzraudzības iestādes minētās prasības un kritērijus iesniedz arī kolēģijai. Kolēģija visus sertifikācijas mehānismus un datu aizsardzības zīmogus sakopo reģistrā un dara tos publiski pieejamus, izmantojot jebkādus piemērotus līdzekļus.

7. Neskarot VIII nodaļu, kompetentā uzraudzības iestāde vai valsts akreditācijas struktūra atsauc sertifikācijas struktūras akreditāciju, ievērojot šā panta 1. punktu, ja nav izpildīti vai vairs netiek pildīti akreditācijas nosacījumi vai ja sertifikācijas struktūras veiktās darbības pārkāpj šo regulu.

8. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 92. pantu nolūkā precizēt prasības, kas jāņem vērā attiecībā uz 42. panta 1. punktā minētajiem datu aizsardzības sertifikācijas mehānismiem.

9. Komisija var pieņemt īstenošanas aktus, ar ko nosaka tehniskos standartus sertifikācijas mehānismiem un datu aizsardzības zīmogiem un marķējumiem, un mehānismus minēto sertifikācijas mehānismu, zīmogu un marķējumu popularizēšanai un atzīšanai. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

V NODAĻA

Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām

45. pants

Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību

1. Personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja.

2. Izvērtējot aizsardzības līmeņa pietiekamību, Komisija jo īpaši ņem vērā šādus elementus:

tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām un publisko iestāžu piekļuvi personas datiem, kā arī šādu tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta;

tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un īstenošanu, tostarp ar adekvātām izpildes pilnvarām, par palīdzību un konsultāciju sniegšanu datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un

c)	starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību.

3. Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē. Īstenošanas aktā paredz periodiskas, vismaz reizi četros gados notiekošas pārskatīšanas mehānismu, kurā ņem vērā visas attiecīgās norises trešajā valstī vai starptautiskajā organizācijā. Īstenošanas aktā precizē tā teritoriālo un sektoriālo piemērošanu un attiecīgā gadījumā norāda šā panta 2. punkta b) apakšpunktā minēto uzraudzības iestādi vai iestādes. Īstenošanas aktu pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

4. Komisija trešās valstīs un starptautiskajās organizācijās pastāvīgi uzrauga norises, kas varētu ietekmēt saskaņā ar šā panta 3. punktu pieņemto lēmumu un, balstoties uz Direktīvas 95/46/EK 25. panta 6. punktu, pieņemto lēmumu darbību.

5. Ja pieejamā informācija, jo īpaši pēc šā panta 3. punktā minētās pārskatīšanas, liecina, ka kāda trešā valsts, teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai kāda starptautiska organizācija vairs nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, Komisija, pieņemot īstenošanas aktus, ciktāl tas nepieciešams atceļ, groza vai aptur šā panta 3. punktā minēto lēmumu bez atpakaļejoša spēka. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

Pienācīgi pamatotu nenovēršamu un steidzamu iemeslu dēļ Komisija saskaņā ar procedūru, kura minēta 93. panta 3. punktā, pieņem īstenošanas aktus, kas jāpiemēro nekavējoties.

6. Komisija ar trešo valsti vai starptautisko organizāciju sāk konsultācijas, lai labotu stāvokli, kura dēļ saskaņā ar 5. punktu ir pieņemts lēmums.

7. Saskaņā ar šā panta 5. punktu pieņemts lēmums neskar personas datu nosūtīšanu uz trešo valsti, teritoriju vai vienu vai vairākiem konkrētiem sektoriem minētajā trešā valstī, vai attiecīgu starptautisku organizāciju atbilstīgi 46.–49. pantam.

8. Komisija Eiropas Savienības Oficiālajā Vēstnesī un savā tīmekļa vietnē publicē sarakstu ar tām trešām valstīm, teritorijām un konkrētiem sektoriem trešā valstī un starptautiskām organizācijām, attiecībā uz kurām tā ir pieņēmusi lēmumu, ka ir vai vairs nav nodrošināts pietiekams aizsardzības līmenis.

9. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 3. vai 5. punktu.

47. pants

Saistoši uzņēmuma noteikumi

1. Kompetentā uzraudzības iestāde apstiprina saistošos uzņēmuma noteikumus saskaņā ar 63. pantā minēto konsekvences mehānismu ar noteikumu, ka tie:

a)	ir juridiski saistoši, un tie tiek piemēroti, un tos īsteno katrs attiecīgais uzņēmumu grupas loceklis vai katrs tādas uzņēmējsabiedrību grupas loceklis, kas iesaistīti kopīgā saimnieciskā darbībā, tostarp to darbinieki;

b)	skaidri piešķir īstenojamas tiesības datu subjektiem attiecībā uz personas datu apstrādi; un

c)	atbilst 2. punktā izklāstītajām prasībām.

2. Saistošajos uzņēmuma noteikumos, kas minēti 1. punktā, norāda vismaz:

a)	katras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, un katra tās locekļa struktūru un kontaktinformāciju;

b)	datu nosūtīšanu vai vairākkārtēju nosūtīšanu, ietverot personas datu kategorijas, apstrādes veidu un nolūkus, attiecīgo datu subjektu veidu un attiecīgās trešās valsts vai valstu identifikāciju;

c)	to juridiski gan iekšēji, gan ārēji saistošo raksturu;

vispārīgo datu aizsardzības principu piemērošanu, jo īpaši nolūka ierobežojumus, datu minimizēšanu, ierobežotus glabāšanas laikposmus, datu kvalitāti, integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, apstrādes juridisko pamatu, konkrētu personas datu kategoriju apstrādi, pasākumus datu drošības nodrošināšanai un prasības attiecībā uz tālāku nosūtīšanu struktūrām, uz kurām neattiecas saistoši uzņēmuma noteikumi;

datu subjektu tiesības attiecībā uz apstrādi un līdzekļus minēto tiesību īstenošanai, ietverot tiesības nebūt tādu lēmumu subjektam, kuru pamatā ir vienīgi automatizēta apstrāde, tostarp profilēšana, saskaņā ar 22. pantu, tiesības iesniegt sūdzību kompetentai uzraudzības iestādei un kompetentai tiesai dalībvalstīs saskaņā ar 79. pantu un tiesības uz tiesību aizsardzību un vajadzības gadījumā uz kompensāciju saistošo uzņēmuma noteikumu pārkāpuma gadījumā;

pārziņa vai apstrādātāja, kas veic uzņēmējdarbību dalībvalsts teritorijā, piekrišanu, ka tas uzņemas atbildību par saistošo uzņēmuma noteikumu pārkāpumu, ko izdara jebkurš attiecīgais loceklis, kas neveic uzņēmējdarbību Savienībā; pārzini vai apstrādātāju pilnībā vai daļēji atbrīvo no minētās atbildības tikai tad, ja pierāda, ka minētais loceklis nav atbildīgs par notikumu, ar ko nodarīts kaitējums;

g)	kā papildus 13. un 14. pantā minētajai informācijai datu subjektam tiek sniegta informācija par saistošiem uzņēmuma noteikumiem, jo īpaši par noteikumiem, kas minēti šā punkta d), e) un f) apakšpunktā;

jebkura saskaņā ar 37. pantu ieceltā datu aizsardzības speciālista uzdevumus vai jebkuras citas personas vai vienības uzdevumus, kas ir atbildīga par to, lai uzraudzītu, kā uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, tiek ievēroti saistošie uzņēmuma noteikumi, kā arī uzdevumu uzraudzīt apmācības un sūdzību izskatīšanu;

i)	sūdzību procedūras;

uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, izveidotos mehānismus, lai nodrošinātu verifikāciju par saistošo uzņēmuma noteikumu ievērošanu. Šādi mehānismi ietver datu aizsardzības revīziju un metodes, ar kurām nodrošina korektīvu rīcību, lai aizsargātu datu subjekta tiesības. Šādas verifikācijas rezultāti būtu jāpaziņo h) apakšpunktā minētai personai vai vienībai un uzņēmumu grupas kontrolējošā uzņēmuma valdei vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, valdei, un tiem pēc pieprasījuma vajadzētu būt pieejamiem kompetentajai uzraudzības iestādei;

k)	mehānismus, kas izveidoti, lai ziņotu par izmaiņām noteikumos un tās reģistrētu, un lai paziņotu par minētajām izmaiņām uzraudzības iestādei;

l)	sadarbības mehānismu ar uzraudzības iestādi, lai nodrošinātu, ka visi uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, locekļi ievēro noteikumus, jo īpaši darot uzraudzības iestādei pieejamus j) apakšpunktā minēto pasākumu verifikāciju rezultātus;

mehānismus, lai ziņotu kompetentajai uzraudzības iestādei par jebkādām juridiskajām prasībām, kuras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīti kopīgā saimnieciskā darbībā, loceklim piemēro trešā valstī un kurām var būt ievērojama nelabvēlīga ietekme uz garantijām, ko paredz saistoši uzņēmuma noteikumi; un

n)	piemērotu datu aizsardzības apmācību personālam, kuram ir pastāvīga vai regulāra piekļuve personas datiem.

3. Komisija var noteikt formātu un procedūras informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm saistībā ar saistošiem uzņēmuma noteikumiem šā panta nozīmē. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

49. pants

Atkāpes īpašās situācijās

1. Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar 45. panta 3. punktu vai nav nodrošinātas atbilstošas garantijas saskaņā ar 46. pantu, tostarp saistoši uzņēmuma noteikumi, personas datu nosūtīšana vai vairākkārtēja nosūtīšana uz trešo valsti vai starptautisku organizāciju notiek tikai tad, ja izpildīts viens no turpmāk minētajiem nosacījumiem:

a)	datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ;

b)	nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma;

c)	nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei;

d)	nosūtīšana ir nepieciešama, ja ir svarīgi iemesli sabiedrības interesēs;

e)	nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;

f)	nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu;

nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var pierādīt savas leģitīmās intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības vai dalībvalsts tiesību aktos paredzētie izmantošanas nosacījumi.

Ja nosūtīšanu nevar balstīt uz 45. vai 46. pantā ietvertu noteikumu, tostarp noteikumu par saistošiem uzņēmuma noteikumiem, un nav piemērojama neviena no atkāpēm īpašās situācijās saskaņā ar šā punkta pirmo daļu, nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt tikai tad, ja nosūtīšana neatkārtojas, attiecas vienīgi uz ierobežotu skaitu datu subjektu, ir vajadzīga pārziņa pārliecinošām leģitīmām interesēm, attiecībā uz kurām datu subjekta intereses vai tiesības un brīvības nav svarīgākas, un pārzinis ir novērtējis visus apstākļus saistībā ar datu nosūtīšanu un, pamatojoties uz minēto novērtējumu, ir sniedzis atbilstošas garantijas attiecībā uz personas datu aizsardzību. Pārzinis par nosūtīšanu informē uzraudzības iestādi. Papildus 13. un 14. pantā minētās informācijas sniegšanai pārzinis informē datu subjektu par nosūtīšanu un par pārliecinošām leģitīmām interesēm.

2. Nosūtot datus saskaņā ar 1. punkta pirmās daļas g) apakšpunktu, nenosūta pilnīgi visus reģistrā ietvertos personas datus vai veselas personas datu kategorijas. Ja reģistrs ir paredzēts, lai to varētu izmantot personas, kurām ir leģitīmas intereses, datus nosūta tikai pēc minēto personu pieprasījuma vai ja šīs personas ir datu saņēmēji.

3. Šā panta 1. punkta pirmās daļas a), b) un c) apakšpunktu un otro daļu nepiemēro publisko iestāžu darbībai, kad tās īsteno savas publiskās pilnvaras.

4. Sabiedrības intereses, kas minētas 1. punkta pirmās daļas d) apakšpunktā, ir atzītas Savienības tiesībās vai tās dalībvalsts tiesībās, kas ir piemērojamas pārzinim.

5. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības vai dalībvalsts tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju. Dalībvalstis par jebkādiem šādiem noteikumiem paziņo Komisijai.

6. Pārzinis vai apstrādātājs 30. pantā minētajos datu reģistros dokumentē novērtējumu, kā arī šā panta 1. punkta otrajā daļā izklāstītās atbilstošās garantijas.

51. pants

Uzraudzības iestāde

1. Katra dalībvalsts paredz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par šīs regulas piemērošanas uzraudzību, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar apstrādi un veicinātu personas datu brīvu apriti Savienībā (“uzraudzības iestāde”).

2. Katra uzraudzības iestāde palīdz nodrošināt šīs regulas konsekventu piemērošanu visā Savienībā. Minētajā nolūkā uzraudzības iestādes sadarbojas cita ar citu un ar Komisiju saskaņā ar VII nodaļu.

3. Ja dalībvalstī ir vairāk nekā viena uzraudzības iestāde, minētā dalībvalsts ieceļ uzraudzības iestādi, kas pārstāv minētās iestādes kolēģijā, un izstrādā mehānismus, kas nodrošina, ka pārējās iestādes ievēro 63. panta noteikumus par konsekvences mehānismu.

4. Līdz 2018. gada 25. maijam katra dalībvalsts paziņo Komisijai noteikumus, ko tā pieņem saskaņā ar šo nodaļu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem.

56. pants

Vadošās uzraudzības iestādes kompetence

1. Neskarot 55. pantu, galvenās uzņēmējdarbības vietas vai pārziņa vai apstrādātāja darbības vietas uzraudzības iestāde ir kompetenta rīkoties kā vadošā uzraudzības iestāde attiecībā uz minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi saskaņā ar 60. pantā paredzēto procedūru.

2. Atkāpjoties no 1. punkta, ikviena uzraudzības iestāde ir kompetenta izskatīt tai iesniegto sūdzību vai iespējamu šīs regulas pārkāpumu, ja lietas priekšmets attiecas vienīgi uz uzņēmējdarbības vietu tās dalībvalstī vai būtiski ietekmē datu subjektus vienīgi tās dalībvalstī.

3. Šā panta 2. punktā minētajos gadījumos uzraudzības iestāde nekavējoties par minēto jautājumu informē vadošo uzraudzības iestādi. Trīs nedēļu laikā pēc informēšanas vadošā uzraudzības iestāde nolemj, vai tā izskatīs vai neizskatīs jautājumu saskaņā ar 60. pantā paredzēto procedūru, ņemot vērā to, vai pārzinis vai apstrādātājs veic uzņēmējdarbību tajā dalībvalstī, kuras uzraudzības iestāde sniegusi informāciju.

4. Ja vadošā uzraudzības iestāde nolemj izskatīt jautājumu, piemēro 60. pantā paredzēto procedūru. Uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, vadošajai uzraudzības iestādei var iesniegt lēmuma projektu. Vadošā uzraudzības iestāde maksimāli ņem vērā minēto projektu, kad tā izstrādā 60. panta 3. punktā minēto lēmuma projektu.

5. Ja vadošā uzraudzības iestāde nolemj neizskatīt jautājumu, tā uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, izskata jautājumu saskaņā ar 61. un 62. pantu.

6. Vadošā uzraudzības iestāde ir vienīgais pārziņa vai apstrādātāja partneris saistībā ar minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi.

57. pants

Uzdevumi

1. Neskarot citus uzdevumus, kas noteikti ar šo regulu, ikviena uzraudzības iestāde savā teritorijā:

a)	uzrauga un īsteno šīs regulas piemērošanu;

b)	veicina sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar apstrādi. Īpašu uzmanību pievērš darbībām, kas konkrēti attiecas uz bērniem;

c)	saskaņā ar dalībvalsts tiesību aktiem konsultē valsts parlamentu, valdību un citas iestādes un struktūras par likumdošanas un administratīviem pasākumiem saistībā ar fizisku personu tiesību un brīvību aizsardzību attiecībā uz apstrādi;

d)	veicina pārziņu un apstrādātāju izpratni par pienākumiem, ko tiem uztic saskaņā ar šo regulu;

e)	pēc pieprasījuma sniedz informāciju ikvienam datu subjektam par viņu tiesību īstenošanu saskaņā ar šo regulu un, ja nepieciešams, minētajā nolūkā sadarbojas ar citu dalībvalstu uzraudzības iestādēm;

izskata kāda datu subjekta, struktūras vai organizācijas, vai apvienības iesniegtās sūdzības saskaņā ar 80. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi;

g)	sadarbojas ar citām uzraudzības iestādēm, tostarp apmainās ar informāciju un sniedz savstarpēju palīdzību, lai nodrošinātu konsekventu šīs regulas piemērošanu un izpildi;

h)	veic izmeklēšanu par šīs regulas piemērošanu, tostarp, pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes;

i)	pārrauga attiecīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikācijas tehnoloģiju un komercprakses attīstību;

j)	apstiprina 28. panta 8. punktā un 46. panta 2. punkta d) apakšpunktā minētās līguma standartklauzulas;

k)	izveido un uztur sarakstu attiecībā uz prasību veikt novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 35. panta 4. punktu;

l)	sniedz padomus par 36. panta 2. punktā minētajām apstrādes darbībām;

m)	veicina rīcības kodeksu izstrādi saskaņā ar 40. panta 1. punktu un saskaņā ar 40. panta 5. punktu sniedz atzinumu un apstiprina šādus rīcības kodeksus, kas sniedz pietiekamas garantijas;

n)	veicina datu aizsardzības sertifikācijas mehānismu un datu aizsardzības zīmogu un marķējumu izveidi saskaņā ar 42. panta 1. punktu un apstiprina sertifikācijas kritērijus saskaņā ar 42. panta 5. punktu;

o)	attiecīgā gadījumā veic periodisku pārbaudi tiem sertifikātiem, kas izsniegti saskaņā ar 42. panta 7. punktu;

p)	izstrādā un publicē akreditācijas kritērijus, lai akreditētu struktūru, kas uzrauga rīcības kodeksus, saskaņā ar 41. pantu un sertifikācijas struktūru saskaņā ar 43. pantu;

q)	veic akreditāciju struktūrai, kas uzrauga rīcības kodeksus, saskaņā ar 41. pantu un sertifikācijas struktūrai saskaņā ar 43. pantu;

r)	apstiprina 46. panta 3. punktā minētās līguma klauzulas un noteikumus;

s)	apstiprina saistošos uzņēmuma noteikumus saskaņā ar 47. pantu;

t)	veicina kolēģijas darbības;

u)	uztur iekšēju reģistru par šīs regulas pārkāpumiem un saskaņā ar 58. panta 2. punktu veiktajiem pasākumiem; un

v)	pilda jebkādus citus uzdevumus saistībā ar personas datu aizsardzību.

2. Katra uzraudzības iestāde atvieglo 1. punkta f) apakšpunktā minēto sūdzību iesniegšanu ar tādiem pasākumiem kā, piemēram, sūdzības iesniegšanas veidlapu, kuru var aizpildīt arī elektroniski, neizslēdzot arī iespēju izmantot citus saziņas līdzekļus.

3. Attiecībā uz datu subjektu un attiecīgā gadījumā datu aizsardzības speciālistu katra uzraudzības iestāde savus uzdevumus veic bez maksas.

4. Ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, uzraudzības iestāde var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām, vai atteikties veikt pieprasīto darbību. Uzraudzības iestādes pienākums ir pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

58. pants

Pilnvaras

1. Katrai uzraudzības iestādei ir visas šādas izmeklēšanas pilnvaras:

a)	izdot rīkojumu pārzinim un apstrādātājam, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvim sniegt visu informāciju, kas nepieciešama tās uzdevumu veikšanai;

b)	veikt izmeklēšanas, izmantojot datu aizsardzības revīzijas;

c)	veikt pārbaudi tiem sertifikātiem, kas izsniegti saskaņā ar 42. panta 7. punktu;

d)	paziņot pārzinim vai apstrādātājam par aizdomām par šīs regulas iespējamu pārkāpšanu;

e)	iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem un visai informācijai, kas nepieciešama tās uzdevumu veikšanai;

f)	iegūt piekļuvi visām pārziņa un apstrādātāja telpām, tostarp jebkādām datu apstrādes iekārtām un līdzekļiem, saskaņā ar Savienības vai dalībvalsts procesuālajiem tiesību aktiem.

2. Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras:

a)	brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, iespējams, var tikt pārkāpti šīs regulas noteikumi;

b)	izteikt rājienu pārzinim vai apstrādātājam, ja ar apstrādes darbībām ir tikuši pārkāpti šīs regulas noteikumi;

c)	izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības;

d)	izdot rīkojumu pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā;

e)	izdot rīkojumu pārzinim paziņot datu subjektam par personas datu aizsardzības pārkāpumu;

f)	uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu;

g)	izdot rīkojumu par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, ievērojot 16., 17. un 18. pantu, un par šādām darbībām informēt saņēmējus, kuriem personas dati ir izpausti, ievērojot 17. panta 2. punktu un 19. pantu;

h)	atsaukt sertifikātu vai izdot rīkojumu sertifikācijas struktūrai atsaukt sertifikātu, kurš izsniegts, ievērojot 42. un 43. pantu, vai izdot rīkojumu sertifikācijas struktūrai neizsniegt sertifikātu, ja nav izpildītas vai vairs netiek pildītas sertifikācijas prasības;

i)	piemērot administratīvu naudas sodu saskaņā ar 83. pantu, papildinot vai aizstājot šajā punktā minētos pasākumus atkarībā no katras konkrētās lietas apstākļiem;

j)	izdot rīkojumu apturēt datu plūsmu pie saņēmēja trešā valstī vai pie starptautiskas organizācijas.

3. Katrai uzraudzības iestādei ir visas šādas atļauju izsniegšanas un padomdevēja pilnvaras:

a)	konsultēt pārzini saskaņā ar 36. pantā minēto iepriekšējas apspriešanās procedūru;

b)	pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus valsts parlamentam, dalībvalsts valdībai vai – saskaņā ar dalībvalsts tiesību aktiem – citām iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību;

c)	dot atļauju uzsākt apstrādi, kas minēta 36. panta 5. punktā, ja dalībvalsts tiesību aktos ir paredzēta šāda iepriekšēja atļauja;

d)	saskaņā ar 40. panta 5. punktu sniegt atzinumu par rīcības kodeksa projektu un to apstiprināt;

e)	akreditēt sertifikācijas struktūras saskaņā ar 43. pantu;

f)	izsniegt sertifikātus un apstiprināt sertifikācijas kritērijus saskaņā ar 42. panta 5. punktu;

g)	pieņemt standarta datu aizsardzības klauzulas, kas minētas 28. panta 8. punktā un 4. panta 2. punkta d) apakšpunktā;

h)	apstiprināt līguma klauzulas, kas minētas 46. panta 3. punkta a) apakšpunktā;

i)	apstiprināt administratīvās vienošanās, kas minētas 46. panta 3. punkta b) apakšpunktā;

j)	apstiprināt saistošos uzņēmuma noteikumus saskaņā ar 47. pantu.

4. Uzraudzības iestāde saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības un dalībvalstu tiesību aktos saskaņā ar hartu.

5. Katra dalībvalsts ar tiesību aktiem paredz, ka tās uzraudzības iestādei ir pilnvaras pievērst tiesu iestāžu uzmanību šīs regulas pārkāpumiem un vajadzības gadījumā uzsākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu šīs regulas noteikumus.

6. Katra dalībvalsts var ar tiesību aktiem paredzēt, ka tās uzraudzības iestādei ir vēl citas pilnvaras papildus tām, kas minētas 1., 2. un 3. punktā. Minēto pilnvaru īstenošana netraucē VII nodaļas efektīvai darbībai.

60. pants

Sadarbība starp vadošo uzraudzības iestādi un citām attiecīgajām uzraudzības iestādēm

1. Vadošā uzraudzības iestāde sadarbojas ar citām attiecīgajām uzraudzības iestādēm saskaņā ar šo pantu nolūkā panākt konsensu. Vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes savstarpēji apmainās ar visu būtisko informāciju.

2. Vadošā uzraudzības iestāde jebkurā laikā var lūgt citām attiecīgajām uzraudzības iestādēm sniegt savstarpēju palīdzību saskaņā ar 61. pantu un var veikt kopīgas operācijas saskaņā ar 62. pantu, jo īpaši nolūkā veikt izmeklēšanu vai uzraudzīt pasākuma īstenošanu saistībā ar pārzini vai apstrādātāju, kas veic uzņēmējdarbību citā dalībvalstī.

3. Vadošā uzraudzības iestāde nekavējoties nosūta attiecīgo informāciju par lietu citām attiecīgajām uzraudzības iestādēm. Tā nekavējoties nosūta citām attiecīgajām uzraudzības iestādēm lēmuma projektu, lai saņemtu to atzinumu un pienācīgi ņemtu vērā to viedokli.

4. Ja kāda no citām attiecīgajām uzraudzības iestādēm četru nedēļu laikā pēc konsultēšanās saskaņā ar šā panta 3. punktu izsaka būtisku un motivētu iebildumu par lēmuma projektu, vadošā uzraudzības iestāde, ja tā neņem vērā būtisku un motivētu iebildumu vai uzskata, ka iebildums nav būtisks vai motivēts, iesniedz lietu izskatīšanai saskaņā ar 63. pantā minēto konsekvences mehānismu.

5. Ja vadošā uzraudzības iestāde ir nolēmusi piekrist izteiktajam būtiskajam un motivētajam iebildumam, tā citām attiecīgajām uzraudzības iestādēm nosūta pārskatītu lēmuma projektu atzinuma saņemšanai. Uz minēto pārskatīto lēmuma projektu divu nedēļu laikposmā attiecas 4. punktā minētā procedūra.

6. Ja neviena no citām attiecīgajām uzraudzības iestādēm 4. un 5. punktā minētajā laikposmā neiebilst pret vadošās uzraudzības iestādes nosūtīto lēmuma projektu, uzskata, ka vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes ir vienojušās par minēto lēmuma projektu un tas viņām ir saistošs.

7. Vadošā uzraudzības iestāde pieņem lēmumu un to paziņo attiecīgi uz pārziņa vai apstrādātāja galveno vai vienīgo uzņēmējdarbības vietu un par minēto lēmumu informē attiecīgās uzraudzības iestādes un kolēģiju, tostarp sniedzot attiecīgo faktu un pamatojumu kopsavilkumu. Uzraudzības iestāde, kurā iesniegta sūdzība, informē sūdzības iesniedzēju par lēmumu.

8. Atkāpjoties no 7. punkta, ja sūdzība ir noraidīta, uzraudzības iestāde, kurā bija iesniegta sūdzība, pieņem lēmumu un to paziņo sūdzības iesniedzējam un par to informē pārzini.

9. Ja vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes vienojas noraidīt daļu no sūdzības un rīkoties attiecībā uz pārējo minētās sūdzības daļu, par katru no šā jautājuma daļām pieņem atsevišķu lēmumu. Vadošā uzraudzības iestāde pieņem lēmumu par daļu, kas attiecas uz rīcību attiecībā uz pārzini, paziņo to pārziņa vai apstrādātāja galvenajai vai vienīgajai uzņēmējdarbības vietai tās dalībvalsts teritorijā un par to informē sūdzības iesniedzēju; savukārt uzraudzības iestāde, kurā iesniegta sūdzība, pieņem lēmumu par to minētās sūdzības daļu, kuru noraida, un to paziņo minētajam sūdzības iesniedzējam un informē par to pārzini vai apstrādātāju.

10. Pēc vadošās uzraudzības iestādes lēmuma saņemšanas saskaņā ar 7. un 9. punktu pārzinis vai apstrādātājs īsteno vajadzīgos pasākumus, lai nodrošinātu atbilstību šim lēmumam attiecībā uz apstrādes darbībām visās tā uzņēmējdarbības vietās Savienībā. Pārzinis vai apstrādātājs par pasākumiem, kas īstenoti nolūkā nodrošināt atbilstību šim lēmumam, paziņo vadošajai uzraudzības iestādei, kura informē citas attiecīgās uzraudzības iestādes.

11. Ja ārkārtas apstākļos attiecīgajai uzraudzības iestādei ir pamats uzskatīt, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu intereses, piemēro 66. pantā minēto steidzamības procedūru.

12. Vadošā uzraudzības iestāde un citas attiecīgās uzraudzības iestādes savstarpēji sniedz šajā pantā minēto informāciju elektroniskā veidā, izmantojot standarta formātu.

61. pants

Savstarpēja palīdzība

1. Uzraudzības iestādes sniedz cita citai visu attiecīgo informāciju un savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo regulu, un īsteno pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība ietver jo īpaši informācijas pieprasījumus un uzraudzības pasākumus, piemēram, pieprasījumus sniegt iepriekšējas atļaujas un veikt apspriešanos, pārbaudes un izmeklēšanas.

2. Katra uzraudzības iestāde veic visus atbilstīgos pasākumus, kas nepieciešami, lai bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas atbildētu uz kādas citas uzraudzības iestādes pieprasījumu. Šādi pasākumi jo īpaši var ietvert attiecīgas informācijas par izmeklēšanas gaitu nosūtīšanu.

3. Palīdzības pieprasījumos ir norādīta visa nepieciešamā informācija, tostarp pieprasījuma nolūks un pamatojums. Apmaiņā iegūto informāciju izmanto tikai tam nolūkam, kādam tā tika pieprasīta.

4. Uzraudzības iestāde, kurai pieprasījums adresēts, neatsakās izpildīt pieprasījumu, izņemot, ja:

a)	pieprasījuma priekšmets vai pasākumi, kurus lūdz izpildīt, nav tās kompetencē; vai

b)	pieprasījuma izpilde pārkāptu šo regulu vai Savienības vai dalībvalsts tiesību aktus, ko piemēro uzraudzības iestādei, kura saņēmusi pieprasījumu.

5. Uzraudzības iestāde, kurai pieprasījums adresēts, informē pieprasošo uzraudzības iestādi par rezultātiem vai attiecīgā gadījumā par progresu vai pasākumiem, kas veikti, lai izpildītu pieprasījumu. Uzraudzības iestāde, kurai pieprasījums adresēts, ievērojot 4. punktu, paskaidro iemeslus jebkuram atteikumam izpildīt pieprasījumu.

6. Uzraudzības iestādes, kurām pieprasījums adresēts, parasti sniedz citu uzraudzības iestāžu pieprasīto informāciju elektroniskā veidā, izmantojot standarta formātu.

7. Uzraudzības iestādes, kurām pieprasījums adresēts, neprasa samaksu par darbībām, ko tās veikušas, ievērojot savstarpējās palīdzības pieprasījumu. Uzraudzības iestādes var vienoties par noteikumiem, kā savā starpā kompensēt īpašos izdevumus, kas radušies no savstarpējas palīdzības sniegšanas ārkārtas apstākļos.

8. Ja uzraudzības iestāde nesniedz šā panta 5. punktā minēto informāciju viena mēneša laikā pēc citas uzraudzības iestādes pieprasījuma saņemšanas, pieprasošā uzraudzības iestāde savas dalībvalsts teritorijā var pieņemt pagaidu pasākumu saskaņā ar 55. panta 1. punktu. Minētajā gadījumā tiek uzskatīts, ka saskaņā ar 66. panta 1. punktu ir steidzami jārīkojas un ir nepieciešams steidzams kolēģijas saistošs lēmums saskaņā ar 66. panta 2. punktu.

9. Komisija ar īstenošanas aktiem var noteikt formātu un procedūras savstarpējai palīdzībai, kas minēta šajā pantā, un kārtību, kādā uzraudzības iestādes savā starpā un ar kolēģiju apmainās ar informāciju, izmantojot elektroniskos līdzekļus, jo īpaši standarta formātu, kas minēts šā panta 6. punktā. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā.

64. pants

Kolēģijas atzinums

1. Kolēģija sniedz atzinumu, ja kompetentā uzraudzības iestāde gatavojas pieņemt jebkuru no turpmāk minētajiem pasākumiem. Šādā nolūkā kompetentā uzraudzības iestāde kolēģijai nosūta lēmuma projektu, kad:

a)	tā ir paredzējusi pieņemt sarakstu ar apstrādes darbībām, kam piemēro prasību par novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 35. panta 4. punktu;

b)	tas attiecas uz jautājumu saskaņā ar 40. panta 7. punktu par to, vai rīcības kodeksa projekts vai tā grozījums vai papildinājums atbilst šai regulai;

c)	tā ir paredzējusi apstiprināt kritērijus struktūras akreditācijai saskaņā ar 41. panta 3. punktu vai sertifikācijas struktūrai saskaņā ar 43. panta 3. punktu;

d)	tā ir paredzējusi noteikt standarta datu aizsardzības klauzulas, kas minētas 46. panta 2. punkta d) apakšpunktā un 28. panta 8. punktā;

e)	tā ir paredzējusi apstiprināt 46. panta 3. punkta a) apakšpunktā minētās līguma klauzulas; vai

f)	tā ir paredzējusi apstiprināt saistošos uzņēmuma noteikumus 47. panta nozīmē.

2. Jebkura uzraudzības iestāde, kolēģijas priekšsēdētājs vai Komisija var pieprasīt, lai kolēģija izskata jebkuru jautājumu par vispārējo piemērošanu vai kas rada sekas vairāk nekā vienā dalībvalstī nolūkā saņemt atzinumu, jo īpaši, ja kompetentā uzraudzības iestāde neievēro savstarpējas palīdzības pienākumu saskaņā ar 61. pantu vai kopīgu operāciju pienākumu saskaņā ar 62. pantu.

3. Gadījumos, kas minēti 1. un 2. punktā, kolēģija sniedz atzinumu par tai iesniegto jautājumu ar noteikumu, ka tā par to pašu jautājumu nav jau sniegusi atzinumu. Minēto atzinumu pieņem astoņu nedēļu laikā ar kolēģijas locekļu vienkāršu balsu vairākumu. Minēto termiņu var pagarināt vēl par sešām nedēļām, ņemot vērā jautājuma sarežģītību. Attiecībā uz 1. punktā minēto lēmuma projektu, kas saskaņā ar 5. punktu izplatīts kolēģijas locekļiem, uzskata, ka loceklis, kas priekšsēdētāja norādītā saprātīgā termiņā nav paudis iebildumus, piekrīt lēmuma projektam.

4. Uzraudzības iestādes un Komisija, izmantojot standarta formātu, bez nepamatotas kavēšanās elektroniski paziņo kolēģijai visu attiecīgo informāciju, ietverot attiecīgā gadījumā arī faktu kopsavilkumu, lēmuma projektu, pamatojumu, kāpēc šāds pasākums ir nepieciešams, un citu attiecīgo uzraudzības iestāžu viedokļus.

5. Kolēģijas priekšsēdētājs bez nepamatotas kavēšanās elektroniski informē:

a)	kolēģijas locekļus un Komisiju par visu attiecīgo informāciju, kas paziņota kolēģijai, izmantojot standarta formātu. Ja nepieciešams, kolēģijas sekretariāts nodrošina attiecīgās informācijas tulkojumus; un

b)	uzraudzības iestādi, kas attiecīgā gadījumā minēta 1. un 2. punktā, un Komisiju par atzinumu un to publisko.

6. Kompetentā uzraudzības iestāde nepieņem 1. punktā minēto lēmuma projektu 3. punktā minētajā laikposmā.

7. Uzraudzības iestāde, kas minēta 1. punktā, vislielākajā mērā ņem vērā kolēģijas atzinumu un divu nedēļu laikā pēc atzinuma saņemšanas, izmantojot standarta formātu, elektroniski paziņo kolēģijas priekšsēdētājam, vai tā paturēs spēkā vai grozīs savu lēmuma projektu un grozījumu gadījumā informē par grozīto lēmuma projektu.

8. Ja attiecīgā uzraudzības iestāde šā panta 7. punktā minētajā termiņā informē kolēģijas priekšsēdētāju, ka ir nolēmusi pilnībā vai daļēji neievērot kolēģijas atzinumu, sniedzot attiecīgo pamatojumu, tiek piemērots 65. panta 1. punkts.

72. pants

Procedūra

1. Kolēģija pieņem lēmumus ar vienkāršu kolēģijas locekļu balsu vairākumu, ja vien šajā regulā nav paredzēts citādi.

2. Kolēģija pieņem savu reglamentu ar tās locekļu divu trešdaļu balsu vairākumu un nosaka savu darbības kārtību.

78. pants

Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi

1. Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katrai fiziskai vai juridiskai personai ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas skar minētās personas.

2. Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katram datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja uzraudzības iestāde, kas ir kompetenta, ievērojot 55. un 56. pantu, trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības, kas iesniegta, ievērojot 77. pantu, izskatīšanas virzību vai rezultātiem.

3. Tiesvedību pret uzraudzības iestādi uzsāk tās dalībvalsts tiesā, kurā atrodas uzraudzības iestāde.

4. Ja tiesvedību sāk par uzraudzības iestādes lēmumu, pirms kura pieņemšanas kolēģija saistībā ar konsekvences mehānismu bija nākusi klajā ar atzinumu vai pieņēmusi lēmumu, tad uzraudzības iestāde minēto atzinumu vai lēmumu nosūta tiesai.

83. pants

Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu

1. Katra uzraudzības iestāde nodrošina, ka par 4., 5. un 6. punktā minētajiem šīs regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.

2. Administratīvie naudas sodi atkarībā no katras konkrētās lietas apstākļiem tiek piemēroti, papildinot 58. panta 2. punkta a)–h) apakšpunktā un j) apakšpunktā minētos pasākumus vai šo pasākumu vietā. Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

a)	pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru;

b)	to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ;

c)	jebkādu pārziņa vai apstrādātāja rīcību, lai mazinātu kaitējumu, kas nodarīts datu subjektiem;

d)	pārziņa vai apstrādātāja atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākumiem, ko tie īsteno saskaņā ar 25. un 32. pantu;

e)	jebkādus attiecīgus pārziņa vai apstrādātāja iepriekšējus pārkāpumus;

f)	sadarbības pakāpi ar uzraudzības iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas;

g)	to, kādu kategoriju personas datus ietekmējis pārkāpums;

h)	veidu, kādā par pārkāpumu uzzināja uzraudzības iestāde, jo īpaši to, vai pārzinis vai apstrādātājs ir ziņojis par pārkāpumu, un šādā gadījumā – kādā apjomā;

i)	ja 58. panta 2. punktā minētie pasākumi iepriekš par šo pašu priekšmetu jau ir tikuši vērsti pret attiecīgo pārzini vai apstrādātāju, kā minētie pasākumi ir tikuši pildīti;

j)	apstiprināto rīcības kodeksu ievērošanu saskaņā ar 40. pantu vai apstiprināto sertifikācijas mehānismu ievērošanu saskaņā ar 42. pantu; un

k)	jebkādu citu pastiprinošu vai mīkstinošu apstākli, kas piemērojams lietas apstākļiem, piemēram, no pārkāpuma tieši vai netieši gūti finansiālie labumi vai novērsti zaudējumi.

3. Ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

4. Administratīvus naudas sodus apmērā līdz EUR 10 000 000 vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

a)	pārziņa un apstrādātāja pienākumi saskaņā ar 8., 11., 25.–39., 42. un 43. pantu;

b)	sertifikācijas struktūras pienākumi saskaņā ar 42. un 43. pantu;

c)	pārraudzības struktūras pienākumi saskaņā ar 41. panta 4. punktu.

5. Administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

a)	apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 5., 6., 7. un 9. pantu;

b)	datu subjekta tiesības saskaņā ar 12.–22. pantu;

c)	personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautisku organizāciju saskaņā ar 44.–49. pantu;

d)	visi pienākumi, ievērojot dalībvalsts tiesību aktus, kuri pieņemti saskaņā ar IX nodaļu;

e)	ja nav ievērots uzraudzības iestādes rīkojums vai pagaidu vai galīgs apstrādes vai datu aprites ierobežojums saskaņā ar 58. panta 2. punktu, vai nav sniegta piekļuve, pārkāpjot 58. panta 1. punktu.

6. Saskaņā ar šā panta 2. punktu par 58. panta 2. punktā minētā uzraudzības iestādes rīkojuma neievērošanu piemēro administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.

7. Neskarot 58. panta 2. punktā paredzētās uzraudzības iestāžu korektīvās pilnvaras, katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kas veic uzņēmējdarbību minētajā dalībvalstī.

8. Uzraudzības iestādes pilnvaru veikšanai saskaņā ar šo pantu piemēro atbilstošas procesuālas garantijas saskaņā ar Savienības un dalībvalsts tiesību aktiem, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgu procedūru ievērošanu.

9. Ja dalībvalsts tiesību sistēmā nav paredzēti administratīvi naudas sodi, šo pantu var piemērot tā, ka naudas sodu ierosina kompetentā uzraudzības iestāde, bet uzliek kompetentās valsts tiesas, vienlaikus nodrošinot, ka minētie tiesību aizsardzības līdzekļi ir efektīvi un tiem ir līdzvērtīga iedarbība ar uzraudzības iestāžu uzliktiem administratīviem naudas sodiem. Jebkurā gadījumā uzliktie naudas sodi ir iedarbīgi, samērīgi un atturoši. Līdz 2018. gada 25. maijam minētās dalībvalstis paziņo Komisijai to tiesību aktu noteikumus, ko tās pieņem, ievērojot šo punktu, un nekavējoties paziņo Komisijai par jebkuru turpmāku grozošo aktu vai jebkuriem turpmākiem šo noteikumu grozījumiem.

whereas

(34) Ģenētiskie dati būtu jādefinē kā tādi personas dati, kas attiecas uz fiziskas personas mantotām vai iegūtām ģenētiskajām pazīmēm un kas izriet no attiecīgās fiziskās personas bioloģiskā parauga analīzes, jo īpaši hromosomu, dezoksiribonukleīnskābes (DNS) vai ribonukleīnskābes (RNS) analīzes, vai no cita elementa analīzes, kas ļauj iegūt līdzvērtīgu informāciju.

- = -

(36) Pārziņa galvenajai uzņēmējdarbības vietai Savienībā vajadzētu būt tā galvenās pārvaldes atrašanās vietai Savienībā, ja vien lēmumus par personas datu apstrādes nolūkiem un līdzekļiem nepieņem citā pārziņa uzņēmējdarbības vietā Savienībā, tādā gadījumā minētā cita uzņēmējdarbības vieta būtu jāuzskata par galveno uzņēmējdarbības vietu.
Pārziņa galvenā uzņēmējdarbības vieta Savienībā būtu jānosaka, izmantojot objektīvus kritērijus, un tai būtu jāietver efektīvas un faktiskas pārvaldes darbības, pieņemot galvenos lēmumus par apstrādes nolūkiem un līdzekļiem, ko veic pastāvīga vienība.
Minētajam kritērijam nevajadzētu būt atkarīgam no tā, vai personas datu apstrādi veic tajā konkrētajā vietā.
Fakts, ka personas datu apstrādei vai apstrādes darbībām nepieciešamie tehniskie līdzekļi un tehnoloģijas ir un tiek izmantotas – pats par sevi nenozīmē, ka šī vieta ir galvenā uzņēmējdarbības vieta, un tādēļ tas nav noteicošs galvenās uzņēmējdarbības vietas kritērijs.
Apstrādātāja galvenajai uzņēmējdarbības vietai vajadzētu būt apstrādātāja galvenās pārvaldes atrašanās vietai Savienībā, vai, ja tam nav galvenās pārvaldes Savienībā, – vietai, kur notiek galvenās apstrādes darbības Savienībā.
Gadījumos, kad ir iesaistīts gan pārzinis, gan apstrādātājs, kompetentajai vadošajai uzraudzības iestādei būtu jāpaliek tās dalībvalsts uzraudzības iestādei, kurā atrodas pārziņa galvenā uzņēmējdarbības vieta, bet apstrādātāja uzraudzības iestādi būtu jāuzskata par attiecīgo uzraudzības iestādi un minētajai uzraudzības iestādei būtu jāpiedalās šajā regulā paredzētajā sadarbības procedūrā.
Jebkurā gadījumā tās dalībvalsts vai to dalībvalstu uzraudzības iestādes, kurās atrodas apstrādātāja viena vai vairākas uzņēmējdarbības vietas, nebūtu jāuzskata par attiecīgajām uzraudzības iestādēm, ja lēmuma projekts attiecas tikai uz pārzini.
Ja apstrādi veic uzņēmumu grupa, kontrolējošā uzņēmuma galvenā uzņēmējdarbības vieta būtu jāuzskata par uzņēmumu grupas galveno uzņēmējdarbības vietu, izņemot gadījumos, kad apstrādes nolūkus un līdzekļus nosaka cits uzņēmums.

- = -

(39) Jebkurai personas datu apstrādei vajadzētu būt likumīgai un godprātīgai.
Fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti.
Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda.
Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti.
Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi.
Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā.
Personas datiem vajadzētu būt adekvātiem, atbilstīgiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti.
Tādēļ jo īpaši nepieciešams nodrošināt, lai personas datu glabāšanas laikposms tiktu stingri ierobežots līdz minimumam.
Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem.
Lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata.
Būtu jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti.
Personas dati būtu jāapstrādā veidā, kas nodrošina personas datu pienācīgu drošību un konfidencialitāti, tostarp nepieļaujot neatļautu piekļuvi personas datiem vai to neatļautu izmantošanu un neatļautu piekļuvi aprīkojumam, kas izmantots apstrādei.

- = -

(65) Datu subjektam vajadzētu būt tiesībām uz savu personas datu labošanu un “tiesībām tikt aizmirstam”, ja šādu datu glabāšana pārkāpj šo regulu vai Savienības vai dalībvalsts tiesību aktus, kas ir piemērojami pārzinim.
Jo īpaši datu subjektam vajadzētu būt tiesībām uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti vai citādi apstrādāti, ja datu subjekts ir atsaucis savu piekrišanu apstrādei vai iebilst pret savu personas datu apstrādi, vai ja viņu personas datu apstrāde citā veidā neatbilst šai regulai.
Minētās tiesības ir īpaši svarīgas, ja datu subjekts ir devis savu piekrišanu kā bērns, pilnībā neapzinoties ar apstrādi saistītos riskus, un vēlāk vēlas izņemt šādus personas datus, jo īpaši no interneta.
Datu subjektam būtu jāvar īstenot minētās tiesības, neraugoties uz to, ka viņš vairs nav bērns.
Tomēr personas datu turpmākai saglabāšanai vajadzētu būt likumīgai, ja tas ir nepieciešams, lai īstenotu tiesības uz vārda brīvību un informāciju, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā, arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

- = -

(81) Lai nodrošinātu atbilstību šīs regulas prasībām saistībā ar apstrādi, kas apstrādātājam jāveic pārziņa vārdā, kad apstrādātājam tiek uzticēts veikt apstrādes darbības, pārzinim būtu jāizmanto vienīgi tādi apstrādātāji, kuri sniedz pietiekamas garantijas, jo īpaši speciālo zināšanu, uzticamības un līdzekļu ziņā, tādu tehnisko un organizatorisko pasākumu īstenošanai, kuri atbildīs šīs regulas prasībām, tostarp apstrādes drošības jomā.
Apstrādātāja atbilstību apstiprinātam rīcības kodeksam vai apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko uzskatāmi parāda pārziņa pienākumu izpildi.
Apstrāde, ko veic apstrādātājs, būtu jāreglamentē ar līgumu vai citu juridisku aktu atbilstīgi Savienības vai dalībvalsts tiesību aktiem, kas saista apstrādātāju ar pārzini; minētajā aktā būtu jāizklāsta apstrādes priekšmets un ilgums, apstrādes raksturs un nolūki, personas datu veids un datu subjektu kategorijas, ņemot vērā konkrētos apstrādātāja uzdevumus un pienākumus saistībā ar veicamo apstrādi un risku datu subjekta tiesībām un brīvībām.
Pārzinis un apstrādātājs var izvēlēties izmantot atsevišķu līgumu vai līguma standartklauzulas, ko pieņem vai nu tieši Komisija, vai uzraudzības iestāde saskaņā ar konsekvences mehānismu un pēc tam Komisija.
Pēc tam, kad apstrāde pārziņa vārdā ir pabeigta, apstrādātājam pēc pārziņa izvēles personas dati būtu jāatdod atpakaļ vai jādzēš, ja vien nav prasīts personas datus uzglabāt saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam.

- = -

(82) Lai uzskatāmi parādītu, ka ir ievēroti šīs regulas noteikumi, pārzinim vai apstrādātājam būtu jāglabā ieraksti par apstrādes darbībām, ko viņš veic savas atbildības ietvaros.
Katram pārzinim un apstrādātājam vajadzētu būt pienākumam sadarboties ar uzraudzības iestādi un pēc pieprasījuma darīt minētos ierakstus pieejamus, lai tie varētu kalpot minēto apstrādes darbību uzraudzības vajadzībām.

- = -

(83) Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī regula, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana.
Minētajiem pasākumiem, ņemot vērā tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, attiecībā uz apstrādei raksturīgo risku un aizsargājamo personas datu īpatnībām.
Novērtējot datu drošības risku, vērā būtu jāņem riski, ko rada personas datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu.

- = -

(84) Lai sekmētu šīs regulas noteikumu ievērošanu gadījumos, kad apstrādes darbības varētu izraisīt augstu risku fizisku personu tiesībām un brīvībām, pārzinim vajadzētu būt atbildīgam par novērtējuma par ietekmi uz datu aizsardzību veikšanu, lai jo īpaši izvērtētu minētā riska avotus, raksturu, specifiku un nopietnību.
Novērtējuma rezultāti būtu jāņem vērā, nosakot piemērotus pasākumus, kas veicami, lai uzskatāmi parādītu, ka personas datu apstrāde atbilst šai regulai.
Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka apstrādes darbības ietver augstu risku, ko pārzinis nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes būtu jāveic apspriešanās ar uzraudzības iestādi.

- = -

(86) Ja ir iespējams, ka personas datu pārkāpums rada augstu risku fiziskās personas tiesībām un brīvībām, pārzinim bez liekas kavēšanās būtu jāpaziņo datu subjektam par personas datu pārkāpumu, lai viņš varētu veikt nepieciešamos piesardzības pasākumus.
Paziņojumā būtu jāapraksta personas datu aizsardzības pārkāpuma raksturs, kā arī ieteikumi, kā attiecīgā fiziskā persona varētu mīkstināt iespējamās nelabvēlīgās sekas. Šāda paziņošana datu subjektam būtu jāveic cik vien iespējams ātri un ciešā sadarbībā ar uzraudzības iestādi, ievērojot tās vai citas attiecīgas iestādes, piemēram, tiesībaizsardzības iestādes, sniegtos norādījumus.
Piemēram, ja nepieciešams mazināt tūlītēju kaitējuma risku, būtu ātri jāsniedz paziņojums datu subjektam, taču nepieciešamība īstenot piemērotus pasākumus, lai novērstu datu aizsardzības pārkāpuma turpināšanos vai līdzīgus personas datu pārkāpumus, var attaisnot vēlāku paziņošanu.

- = -

(87) Būtu jāpārliecinās, vai ir īstenoti visi attiecīgie tehniskie un organizatoriskie aizsardzības pasākumi, lai nekavējoties konstatētu, vai ir noticis personas datu aizsardzības pārkāpums, un ātri informētu uzraudzības iestādi un datu subjektu.
Paziņošana bez nepamatotas kavēšanās būtu jānosaka, jo īpaši, ņemot vērā personas datu aizsardzības pārkāpuma raksturu un smagumu, kā arī tā sekas un nelabvēlīgo ietekmi uz datu subjektu. Šāda paziņošana var izraisīt uzraudzības iestādes iejaukšanos atbilstīgi tās uzdevumiem un pilnvarām, kas noteiktas šajā regulā.

- = -

(89) Direktīvā 95/46/EK bija noteikts vispārīgs pienākums paziņot par personas datu apstrādi uzraudzības iestādēm.
Lai gan minētais pienākums radīja administratīvu un finanšu slogu, tas ne vienmēr palīdzēja uzlabot personas datu aizsardzību.
Tāpēc šādi nekritiski vispārīgi paziņošanas pienākumi būtu jāatceļ un jāaizstāj ar efektīvām procedūrām un mehānismiem, kas pievēršas tiem apstrādes darbību veidiem, kuri, iespējams, var radīt augstu risku fizisku personu tiesībām un brīvībām sava rakstura, apmēra, konteksta un nolūku dēļ. Šādi apstrādes darbību veidi var būt tādi, kuri jo īpaši ietver jauno tehnoloģiju izmantošanu, vai tādi, kuri pieder pie kāda jauna veida un par kuriem pārzinis pirms tam nav veicis novērtējumu par ietekmi uz datu aizsardzību, vai tādi, pēc kuriem ir radusies vajadzība, ņemot vērā laiku, kas pagājis kopš sākotnējās apstrādes.

- = -

(94) Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka – ja nav garantijas, drošības pasākumi un mehānismi riska mazināšanai – apstrāde radītu augstu risku fizisku personu tiesībām un brīvībām un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes darbību sākšanas būtu jāapspriežas ar uzraudzības iestādi. Šādu augstu risku, visticamāk, rada daži apstrādes veidi un apstrādes apjoms un biežums, kas var izraisīt arī kaitējumu vai fiziskas personas tiesību un brīvību ierobežošanu.
Uzraudzības iestādei uz pieprasījumu par apspriešanos būtu jāatbild noteiktā termiņā.
Tomēr tam, ka uzraudzības iestāde nav sniegusi atbildi minētajā noteiktajā termiņā, nebūtu jāskar neviena uzraudzības iestādes iejaukšanas saskaņā ar šajā regulā paredzētajiem uzdevumiem un pilnvarām, tostarp pilnvarām aizliegt apstrādes darbības.
Saistībā ar minēto apspriešanās procesu uzraudzības iestādei var iesniegt novērtējuma par ietekmi uz datu aizsardzību, kas tika veikts saistībā ar attiecīgo apstrādi, iznākumu, jo īpaši pasākumus, ar kuriem paredzēts mazināt risku fizisku personu tiesībām un brīvībām.

- = -

(95) Apstrādātājam nepieciešamības gadījumā un pēc pieprasījuma būtu jāpalīdz pārzinim nodrošināt, ka tiek ievēroti pienākumi, kas izriet no novērtējumu par ietekmi uz datu aizsardzību veikšanas un no iepriekšējas apspriešanās ar uzraudzības iestādi.

- = -

(96) Ar uzraudzības iestādi būtu jāapspriežas arī, sagatavojot likumdošanas vai regulatīvu pasākumu, kurš paredz personas datu apstrādi, lai nodrošinātu, ka plānotā apstrāde atbilst šīs regulas noteikumiem, un jo īpaši lai mazinātu risku attiecībā uz datu subjektu.

- = -

(116) Personas datu pārvietošanās pāri robežām ārpus Savienības var ievērojami ietekmēt fizisko personu spējas īstenot tiesības uz datu aizsardzību, jo īpaši, lai aizsargātu sevi pret nelikumīgu izmantošanu vai šādas informācijas atklāšanu.
Vienlaikus uzraudzības iestādes var saskarties ar situāciju, ka tās nevar reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās robežu otrā pusē.
To pūles kopīgi strādāt pārrobežu kontekstā var sarežģīt arī nepietiekamās preventīvās vai korektīvās pilnvaras, tiesisko regulējumu atšķirības un tādi praktiski šķēršļi kā, piemēram, ierobežoti līdzekļi.
Tāpēc ir nepieciešams veicināt ciešāku datu aizsardzības uzraudzības iestāžu sadarbību, lai palīdzētu tām apmainīties ar informāciju un veikt izmeklēšanas kopā ar kolēģiem citās valstīs.
Lai izstrādātu starptautiskās sadarbības mehānismus, kas veicina un sniedz starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildē, Komisijai un uzraudzības iestādēm būtu jāapmainās ar informāciju un jāsadarbojas ar kompetentajām iestādēm trešās valstīs attiecībā uz darbībām, kuras saistītas ar to pilnvaru īstenošanu, pamatojoties uz savstarpējību un saskaņā ar šo regulu.

- = -

(117) Tādu uzraudzības iestāžu izveide dalībvalstīs, kuras ir pilnvarotas veikt savus uzdevumus un pildīt savas pilnvaras pilnīgi neatkarīgi, ir būtiska sastāvdaļa fizisku personu aizsardzībā attiecībā uz viņu personas datu apstrādi.
Dalībvalstīm būtu jāspēj izveidot vairāk nekā vienu uzraudzības iestādi atbilstoši valsts konstitucionālajai, organizatoriskajai vai administratīvajai uzbūvei.

- = -

(122) Katrai uzraudzības iestādei vajadzētu būt kompetentai savas dalībvalsts teritorijā īstenot pilnvaras un pildīt uzdevumus, kas tai piešķirti saskaņā ar šo regulu.
Tam būtu jāattiecas jo īpaši uz apstrādi saistībā ar darbībām pārziņa vai apstrādātāja uzņēmējdarbības vietā savas dalībvalsts teritorijā, tādu personas datu apstādi, ko sabiedrības interesēs veic publiskas iestādes vai privātas struktūras, apstrādi, kas ietekmē datu subjektus tās teritorijā, vai apstrādi, ko veic pārzinis vai apstrādātājs, kurš neveic uzņēmējdarbību Savienībā, bet strādā ar datu subjektiem, kas dzīvo tās teritorijā.
Tam būtu jāaptver datu subjekta iesniegtu sūdzību izskatīšana, izmeklēšanas veikšana par šīs regulas piemērošanu un sabiedrības informētības veicināšana par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi.

- = -

(127) Ikvienai uzraudzības iestādei, kas nerīkojas kā vadošā uzraudzības iestāde, vajadzētu būt kompetentai izskatīt vietējos gadījumus, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī, bet konkrētās apstrādes priekšmets attiecas tikai uz apstrādi, kas veikta vienā dalībvalstī, un ir saistīts tikai ar datu subjektiem šajā vienā dalībvalstī, piemēram, ja priekšmets attiecas uz darba ņēmēju personas datu apstrādi kādas dalībvalsts konkrētā nodarbinātības kontekstā. Šādā gadījumā uzraudzības iestādei par šo jautājumu būtu nekavējoties jāinformē vadošā uzraudzības iestāde.
Pēc informācijas saņemšanas vadošajai uzraudzības iestādei būtu jāizlemj, vai tā izskatīs jautājumu, ievērojot noteikumu par sadarbību starp vadošo uzraudzības iestādi un citām attiecīgajām uzraudzības iestādēm (“vienas pieturas aģentūras mehānisms”), vai arī jautājums vietējā līmenī būtu jāizskata tai uzraudzības iestādei, kura par to informējusi.
Lai nodrošinātu lēmuma faktisko izpildi attiecībā pret pārzini vai apstrādātāju, vadošajai uzraudzības iestādei, lemjot par to, vai tā izskatīs jautājumu, būtu jāņem vērā, vai pārzinis vai apstrādātājs veic uzņēmējdarbību tās uzraudzības iestādes dalībvalstī, kura sniegusi informāciju.
Ja vadošā uzraudzības iestāde nolemj, ka tā izskatīs jautājumu, uzraudzības iestādei, kura sniegusi informāciju, vajadzētu būt iespējai iesniegt lēmuma projektu, kas vadošajai uzraudzības iestādei būtu maksimāli jāņem vērā, kad tā izstrādā sava lēmuma projektu saskaņā ar minēto vienas pieturas aģentūras mehānismu.

- = -

(128) Noteikumi par vadošo uzraudzības iestādi un vienas pieturas aģentūras mehānismu nebūtu jāpiemēro, ja publiskas iestādes vai privātas struktūras apstrādi veic sabiedrības interesēs. Šādos gadījumos tās dalībvalsts uzraudzības iestādei, kurā publiskā iestāde vai privātā struktūra veic uzņēmējdarbību, vajadzētu būt vienīgajai uzraudzības iestādei, kas ir kompetenta īstenot pilnvaras, kuras tai ir piešķirtas saskaņā ar šo regulu.

- = -

(130) Ja uzraudzības iestāde, kurai ir iesniegta sūdzība, nav vadošā uzraudzības iestāde, vadošajai uzraudzības iestādei būtu cieši jāsadarbojas ar to uzraudzības iestādi, kurai ir iesniegta sūdzība saskaņā ar šajā regulā izklāstītajiem noteikumiem par sadarbību un konsekvenci. Šādos gadījumos vadošajai uzraudzības iestādei, veicot pasākumus, kas paredzēti, lai radītu tiesiskas sekas, tostarp uzliekot administratīvus naudas sodus, būtu vislielākajā mērā jāņem vērā tās uzraudzības iestādes viedoklis, kurai ir iesniegta sūdzība un kurai arī turpmāk vajadzētu būt tiesīgai veikt izmeklēšanu savas dalībvalsts teritorijā sadarbībā ar vadošo uzraudzības iestādi.

- = -

(131) Ja citai uzraudzības iestādei būtu jārīkojas kā vadošajai uzraudzības iestādei attiecībā uz pārziņa vai apstrādātāja apstrādes darbībām, bet konkrētais sūdzības priekšmets vai iespējamais pārkāpums attiecas tikai uz pārziņa vai apstrādātāja apstrādes darbībām tajā dalībvalstī, kurā ir iesniegta sūdzība vai atklāts iespējamais pārkāpums, un lieta būtiski neietekmē vai paredzams, ka būtiski neietekmēs datu subjektus citās dalībvalstīs, uzraudzības iestādei, kas saņem sūdzību vai atklāj vai kas citādi tiek informēta par situāciju, kurā, iespējams, ir pārkāpti šīs regulas noteikumi, būtu jācenšas panākt izlīgumu ar pārzini un, ja tas neizdodas, izmantot visas savas pilnvaras.
Tam būtu jāietver konkrēta apstrāde, kas veikta uzraudzības iestādes dalībvalsts teritorijā vai attiecībā uz datu subjektiem minētās dalībvalsts teritorijā; apstrāde, kas veikta saistībā ar tādu preču vai pakalpojumu piedāvājumu, kas paredzēts tieši datu subjektiem uzraudzības iestādes dalībvalsts teritorijā; vai apstrāde, kas jāvērtē, ņemot vērā dalībvalsts tiesību aktos paredzētus attiecīgus juridiskus pienākumus.

- = -

(136) Piemērojot konsekvences mehānismu, kolēģijai būtu noteiktā termiņā jāsniedz atzinums, ja tā nolemj kolēģijas locekļu vairākums vai ja to pieprasa jebkura attiecīgā uzraudzības iestāde vai Komisija.
Kolēģijai vajadzētu būt arī pilnvarotai pieņemt juridiski saistošus lēmumus, ja rodas strīds starp uzraudzības iestādēm. Šādā nolūkā tai skaidri noteiktos gadījumos – principā ar locekļu divu trešdaļu balsu vairākumu – būtu jāizdod juridiski saistoši lēmumi, ja uzraudzības iestādēm ir atšķirīgs viedoklis, jo īpaši sadarbības mehānismā starp vadošo uzraudzības iestādi un attiecīgajām uzraudzības iestādēm, par lietas būtību, jo īpaši par to, vai ir pārkāpta šī regula.

- = -

(141) Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību vienai uzraudzības iestādei, jo īpaši viņa pastāvīgās dzīvesvietas dalībvalstī, un tiesībām uz efektīvu tiesību aizsardzību tiesā saskaņā ar hartas 47. pantu, ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, vai ja uzraudzības iestāde nereaģē uz sūdzību, daļēji vai pilnībā noraida sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības.
Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, paredzot iespēju to pārskatīt tiesā.
Uzraudzības iestādei saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības izskatīšanas virzību un iznākumu.
Ja lietā ir nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi, datu subjektam būtu jāsniedz starpposma informācija.
Lai atvieglotu sūdzību iesniegšanu, katrai uzraudzības iestādei būtu jāveic tādi pasākumi kā, piemēram, sūdzības iesniegšanas veidlapas nodrošināšana, kuru var aizpildīt arī elektroniski, neizslēdzot arī citus saziņas līdzekļus.

- = -

(143) Jebkurai fiziskai vai juridiskai personai ir tiesības saskaņā ar LESD 263. pantā paredzētajiem nosacījumiem celt Tiesā prasību par to, lai tiktu atcelts kolēģijas lēmums.
Kā šādu lēmumu adresātiem attiecīgajām uzraudzības iestādēm, kuras vēlas tos apstrīdēt, prasība ir jāceļ divos mēnešos pēc tam, kad lēmumi tām ir paziņoti, ievērojot LESD 263. pantu.
Ja kolēģijas lēmumi tieši un individuāli skar pārzini, apstrādātāju vai sūdzības iesniedzēju, saskaņā ar LESD 263. pantu tie var celt prasību par minēto lēmumu atcelšanu divu mēnešu laikā pēc minēto lēmumu publicēšanas kolēģijas tīmekļa vietnē.
Neskarot minētās tiesības saskaņā ar LESD 263. pantu, katrai fiziskai vai juridiskai personai vajadzētu būt pieejamiem efektīviem tiesību aizsardzības līdzekļiem kompetentajā valsts tiesā pret uzraudzības iestādes lēmumu, kas rada tiesiskas sekas attiecībā uz minēto personu. Šāds lēmums jo īpaši attiecas uz to, kā uzraudzības iestāde īsteno izmeklēšanas, korektīvās un atļauju izsniegšanas pilnvaras, vai uz sūdzību noraidīšanu.
Tomēr tiesības uz efektīvu tiesību aizsardzību tiesā neattiecas uz tādiem uzraudzības iestāžu veiktiem pasākumiem, kas nav juridiski saistoši, piemēram, uzraudzības iestādes izdotiem atzinumiem vai sniegtiem padomiem.
Prasība pret uzraudzības iestādi būtu jāceļ tās dalībvalsts tiesās, kurā izveidota uzraudzības iestāde, un tā būtu jāizskata saskaņā ar minētās dalībvalsts procesuālajām tiesībām. Šādām tiesām vajadzētu īstenot pilnu jurisdikciju, kurai vajadzētu ietvert jurisdikciju izskatīt visus faktu jautājumus un tiesību normu piemērošanas jautājumus, kas saistīti ar tajā izskatāmo strīdu.
Ja uzraudzības iestāde ir noraidījusi sūdzību,

- = -

(154) Šī regula atļauj ņemt vērā principu par publisku piekļuvi oficiāliem dokumentiem, piemērojot šo regulu.
Publisku piekļuvi oficiāliem dokumentiem var uzskatīt par tādu, kas ir sabiedrības interesēs.
Publiskas iestādes vai publiskas struktūras rīcībā esošajos dokumentos ietvertos personas datus minētajai iestādei vai struktūrai būtu jāspēj izpaust saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri attiecas uz publisko iestādi vai publisko struktūru.
Ar šādiem tiesību aktiem publiska piekļuve oficiāliem dokumentiem un publiskā sektora informācijas atkalizmantošana būtu jāsaskaņo ar tiesībām uz personas datu aizsardzību, un tāpēc tajos var paredzēt nepieciešamo saskaņošanu ar tiesībām uz personas datu aizsardzību, ievērojot šo regulu.
Atsaucē uz publiskām iestādēm vai publiskām struktūrām minētajā kontekstā būtu jāiekļauj visas iestādes vai citas struktūras, uz kurām attiecas dalībvalstu tiesību akti par publisku piekļuvi dokumentiem.
Eiropas Parlamenta un Padomes Direktīva 2003/98/EK (14) nemaina un nekādā veidā neskar fizisku personu aizsardzības līmeni saistībā ar personas datu apstrādi saskaņā ar Savienības un dalībvalstu tiesību aktu noteikumiem, un jo īpaši tā neizmaina pienākumus un tiesības, kādi noteikti ar šo regulu.
Jo īpaši minētā direktīva nebūtu jāpiemēro dokumentiem, kuriem piekļuve ir liegta vai ierobežota ar piekļuves režīmiem, kas tiek pamatoti ar personas datu aizsardzību, un dokumentu daļām, kurām var piekļūt saskaņā ar minētajiem režīmiem un kas satur personas datus, kuru atkalizmantošana tiesību aktos ir noteikta kā nesavienojama ar tiesību aktiem par fizisku personu aizsardzību saistībā ar personas datu apstrādi.

- = -

dal 2004 diritto e informatica