interactive GDPR 2016/0679 LV

tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu nav uzskatāma par nesavietojamu ar sākotnējiem nolūkiem (“nolūka ierobežojumi”);

c)	ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);

d)	ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);

tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības (“glabāšanas ierobežojums”);

tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).

2. Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).

7. pants

Nosacījumi piekrišanai

1. Ja apstrāde pamatojas uz piekrišanu, pārzinim ir jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei.

2. Ja datu subjekta piekrišanu dod saistībā ar rakstisku deklarāciju, kas attiecas arī uz citiem jautājumiem, lūgumu dot piekrišanu norāda tā, lai to varētu skaidri atšķirt no citiem jautājumiem, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Jebkura šādas deklarācijas daļa, kura ir šīs regulas pārkāpums, nav saistoša.

3. Datu subjektam ir tiesības atsaukt savu piekrišanu jebkurā laikā. Piekrišanas atsaukums neietekmē apstrādes likumību, kas pamatojas uz piekrišanu pirms atsaukuma. Datu subjektam jābūt par to informētam, pirms viņš dod savu piekrišanu. Atsaukt piekrišanu ir tikpat viegli kā to dot.

4. Novērtējot to, vai piekrišana ir dota brīvi, maksimāli ņem vērā to, vai cita starpā līguma izpilde, tostarp pakalpojuma sniegšana, ir atkarīga no piekrišanas tādai personas datu apstrādei, kura nav nepieciešama minētā līguma izpildei.

11. pants

Apstrāde, kurai nav nepieciešama identifikācija

1. Ja nolūki, kādos pārzinis apstrādā personas datus, neprasa vai vairs neprasa pārzinim identificēt datu subjektu, pārzinim nav pienākuma saglabāt, iegūt vai apstrādāt papildu informāciju, lai identificētu datu subjektu, ja vienīgais nolūks ir ievērot šo regulu.

2. Ja šā panta 1. punktā minētajos gadījumos pārzinis spēj uzskatāmi parādīt, ka viņš nevar identificēt datu subjektu, pārzinis, ja iespējams, attiecīgi informē datu subjektu. Šādos gadījumos 15.–20. pantu nepiemēro, izņemot gadījumos, kad datu subjekts, lai īstenotu savas tiesības saskaņā ar minētajiem pantiem, sniedz papildu informāciju, kas ļauj viņu identificēt.

III NODAĻA

Datu subjekta tiesības

1. iedaļa

Pārredzamība un izmantošanas kārtība

12. pants

Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība

1. Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 13. un 14. pantā minēto informāciju un nodrošinātu visu 15.–22. pantā un 34. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā.

2. Pārzinis veicina datu subjekta tiesību īstenošanu saskaņā ar 15.–22. pantu. Regulas 11. panta 2. punktā minētajos gadījumos pārzinis neatsakās rīkoties pēc datu subjekta pieprasījuma par savu tiesību īstenošanu saskaņā ar 15.–22. pantu, izņemot gadījumus, kad pārzinis uzskatāmi parāda, ka nespēj identificēt datu subjektu.

3. Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu informē par darbību, kas pēc pieprasījuma veikta saskaņā ar 15.–22. pantu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi.

4. Ja pārzinis neveic darbību, ko pieprasījis datu subjekts, pārzinis bez kavēšanās un vēlākais mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par darbības neveikšanas iemesliem un par iespēju iesniegt sūdzību uzraudzības iestādei un vērsties tiesā.

5. Informācija, ko sniedz saskaņā ar 13. un 14. pantu, un visa saziņa un visas darbības, ko īsteno saskaņā ar 15.–22. pantu un 34. pantu, ir bezmaksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var vai nu:

a)	pieprasīt saprātīgu maksu, ņemot vērā administratīvās izmaksas, kas saistītas ar informācijas vai saziņas nodrošināšanu vai pieprasītās darbības veikšanu; vai arī

b)	atteikties izpildīt pieprasījumu.

Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.

6. Neskarot 11. pantu – ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 15.–21. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.

7. Informāciju, kas datu subjektiem sniedzama, ievērojot 13. un 14. pantu, var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tās ir mašīnlasāmas.

8. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 92. pantu, lai noteiktu informāciju, kas sniedzama, izmantojot ikonas, un procedūras standartizētu ikonu nodrošināšanai.

2. iedaļa

Informācija un piekļuve personas datiem

24. pants

Pārziņa atbildība

1. Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.

2. Ja tas ir samērīgi attiecībā uz apstrādes darbībām, 1. punktā minētajos pasākumos ietver to, ka pārzinis īsteno atbilstīgu politiku attiecībā uz datu aizsardzību.

3. Atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina pārziņa pienākumu izpildi.

35. pants

Novērtējums par ietekmi uz datu aizsardzību

1. Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski.

2. Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzību, lūdz padomu no datu aizsardzības speciālista, ja tāds ir iecelts.

3. Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzību jo īpaši ir vajadzīgs šādos gadījumos:

a)	ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu;

b)	9. panta 1. punktā minēto īpašo kategoriju datu vai 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrāde plašā mērogā; vai

c)	publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā.

4. Uzraudzības iestāde izstrādā un publisko sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību saskaņā ar 1. punktu. Uzraudzības iestāde minētos sarakstus iesniedz 68. pantā minētajai kolēģijai.

5. Uzraudzības iestāde var izstrādāt un publiskot arī sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību. Uzraudzības iestāde minētos sarakstus iesniedz kolēģijai.

6. Ja 4. un 5. punktā paredzētais saraksts ietver apstrādes darbības, kas ir saistītas ar preču vai pakalpojumu sniegšanu datu subjektiem vai ar viņu uzvedības novērošanu vairākās dalībvalstīs, vai kas var būtiski ietekmēt personas datu brīvu apriti Savienībā, kompetentā uzraudzības iestāde pirms minētā saraksta pieņemšanas piemēro 63. pantā paredzēto konsekvences mehānismu.

7. Novērtējumā ietver vismaz:

a)	plānoto apstrādes darbību un apstrādes nolūku, tostarp attiecīgā gadījumā pārziņa leģitīmo interešu sistemātisku aprakstu;

b)	novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem;

c)	novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesībām un brīvībām; un

d)	pasākumus, kas paredzēti risku novēršanai, tostarp garantijas, drošības pasākumus un mehānismus, ar ko nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses.

8. Attiecīgo pārziņu vai apstrādātāju atbilstību 40. pantā minētajam rīcības kodeksam pienācīgi ņem vērā, novērtējot šādu pārziņu vai apstrādātāju veikto apstrādes darbību ietekmi, jo īpaši saistībā ar novērtējumu par ietekmi uz datu aizsardzību.

9. Attiecīgā gadījumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot komerciālu vai sabiedrības interešu aizsardzību vai apstrādes darbību drošību.

10. Ja saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu veiktās apstrādes juridiskais pamats ir noteikts Savienības tiesību aktos vai tās dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim, un minētie tiesību akti reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un novērtējums par ietekmi uz datu aizsardzību jau ir veikts kā daļa no vispārējā ietekmes novērtējuma saistībā ar minētā juridiskā pamata pieņemšanu, šā panta 1.–7. punktu nepiemēro, izņemot, ja dalībvalstis uzskata, ka pirms apstrādes darbībām ir jāveic šāds novērtējums.

11. Ja vajadzīgs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzību, vismaz tad, ja ir izmaiņas attiecībā uz apstrādes darbību radīto risku.

41. pants

Apstiprināto rīcības kodeksu pārraudzība

1. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras, kas minēti 57. un 58. pantā, rīcības kodeksa ievērošanas pārraudzību saskaņā ar 40. pantu var veikt struktūra, kura pienācīgi pārzina kodeksa tematiku un kuru minētajam nolūkam ir akreditējusi kompetentā uzraudzības iestāde.

2. Šā panta 1. punktā paredzēto struktūru var akreditēt, lai pārraudzītu atbilstību rīcības kodeksam, ja minētā struktūra:

a)	kompetentajai uzraudzības iestādei ir uzskatāmi parādījusi, ka darbojas neatkarīgi un pārzina kodeksa tematiku;

b)	ir izstrādājusi kārtību, kas tai ļauj novērtēt, vai attiecīgie pārziņi un apstrādātāji ir tiesīgi piemērot attiecīgo kodeksu, un pārraudzīt, kā tie ievēro kodeksa noteikumus, kā arī periodiski pārskatīt kodeksa darbību;

c)	ir izstrādājusi kārtību un izveidojusi struktūras, lai izskatītu sūdzības par attiecīgā kodeksa pārkāpumiem vai to, kā pārzinis vai apstrādātājs ir īstenojis vai īsteno kodeksu, un lai nodrošinātu, ka minētā kārtība un struktūras ir datu subjektiem un sabiedrībai pārredzamas; un

d)	ir kompetentajai uzraudzības iestādei uzskatāmi parādījusi, ka tās uzdevumi un pienākumi nerada interešu konfliktu.

3. Kompetentā uzraudzības iestāde kolēģijai iesniedz projektu par šā panta 1. punktā minētās struktūras akreditēšanas kritērijiem saskaņā ar 63. pantā minēto konsekvences mehānismu.

4. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras un VIII nodaļā paredzētos noteikumus, šā panta 1. punktā minētā struktūra, ievērojot atbilstošas garantijas, atbilstīgi rīkojas gadījumos, kad pārzinis vai apstrādātājs izdara attiecīgā kodeksa pārkāpumu, tostarp tā uz laiku vai pavisam izslēdz pārzini vai apstrādātāju no attiecīgā kodeksa. Struktūra informē kompetento uzraudzības iestādi par minētajām darbībām un to veikšanas iemesliem.

5. Kompetentā uzraudzības iestāde atsauc 1. punktā minētās struktūras akreditāciju, ja nav izpildīti vai vairs netiek pildīti akreditācijas nosacījumi vai ja struktūras veiktās darbības pārkāpj šo regulu.

6. Šo pantu nepiemēro apstrādei, ko veic publiskas iestādes un struktūras.

42. pants

Sertifikācija

1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina, jo īpaši Savienības līmenī, izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst šai regulai. Ņem vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.

2. Papildus tam, ka saskaņā ar šā panta 5. punktu apstiprinātus datu aizsardzības sertifikācijas mehānismus, zīmogus vai marķējumus izmanto pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var izmantot, lai pierādītu, ka pārziņi vai apstrādātāji, uz kuriem, ievērojot 3. pantu, šī regula neattiecas, ir nodrošinājuši atbilstošas garantijas, ko piemēro datu nosūtīšanai uz trešām valstīm vai starptautiskajām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta f) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.

3. Sertifikācija ir brīvprātīga un pieejama procesā, kas ir pārredzams.

4. Sertifikācija, ko veic saskaņā ar šo pantu, nemazina pārziņa vai apstrādātāja atbildību attiecībā uz šīs regulas ievērošanu, un tā neskar uzraudzības iestāžu, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, uzdevumus un pilnvaras.

5. Šajā pantā paredzētu sertifikātu izdod 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde, pamatojoties uz kritērijiem, ko – ievērojot 58. panta 3. punktu – apstiprinājusi minētā kompetentā uzraudzības iestāde vai – ievērojot 63. pantu – kolēģija. Ja kritērijus apstiprinājusi kolēģija, var izdot kopīgu sertifikātu – Eiropas datu aizsardzības zīmogu.

6. Pārzinis vai apstrādātājs, kas savas apstrādes darbības pakļauj minētajam sertifikācijas mehānismam, sniedz visu informāciju 43. pantā paredzētajai sertifikācijas struktūrai vai attiecīgā gadījumā kompetentajai uzraudzības iestādei un nodrošina piekļuvi savām apstrādes darbībām, kas vajadzīga, lai veiktu minēto sertifikācijas procedūru.

7. Sertifikātu pārzinim vai apstrādātājam izdod uz laikposmu, kas nepārsniedz trīs gadus, un to var atjaunot ar tādiem pašiem nosacījumiem, ar noteikumu, ka attiecīgās prasības joprojām ir izpildītas. Attiecīgā gadījumā 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde atsauc sertifikātu, ja sertifikācijas prasības nav izpildītas vai vairs netiek pildītas.

8. Kolēģija visus sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot jebkādus piemērotus līdzekļus.

43. pants

Sertifikācijas struktūras

1. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras saskaņā ar 57. un 58. pantu, sertifikātu izdod un atjauno sertifikācijas struktūras, kam ir atbilstīgas specializētās zināšanas datu aizsardzības jomā, pēc tam, kad tās ir informējušas uzraudzības iestādi, lai tā vajadzības gadījumā varētu īstenot savas pilnvaras saskaņā ar 58. panta 2. punkta h) apakšpunktu. Dalībvalstis nodrošina, ka minētās sertifikācijas struktūras akreditē viena vai abas no turpmāk minētajām:

a)	uzraudzības iestāde, kas ir kompetenta, ievērojot 55. vai 56. pantu;

b)	valsts akreditācijas struktūra, kas norādīta saskaņā ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 765/2008 (20) atbilstīgi EN-ISO/IEC 17065/2012 un papildu prasībām, ko paredzējusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu.

2. Šā panta 1. punktā minētās sertifikācijas struktūras akreditē saskaņā ar minēto punktu tikai tad, ja tās:

a)	kompetentajai uzraudzības iestādei ir uzskatāmi parādījušas, ka darbojas neatkarīgi un pārzina sertifikācijas tematiku;

b)	ir apņēmušās ievērot 42. panta 5. punktā minētos kritērijus un to ir apstiprinājusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu, vai – ievērojot 63. pantu – kolēģija;

c)	ir izstrādājušas procedūru, kādā piešķir, periodiski pārskata un atsauc datu aizsardzības sertifikātu, zīmogus un marķējumus;

d)	ir izstrādājušas procedūru un izveidojušas struktūras, lai izskatītu sūdzības par attiecīgās sertifikācijas pārkāpumiem vai to, kā pārzinis vai apstrādātājs ir īstenojis vai īsteno sertifikāciju, un lai nodrošinātu, ka minētā procedūra un struktūras ir datu subjektiem un sabiedrībai pārredzamas; un

e)	kompetentajai uzraudzības iestādei ir uzskatāmi parādījušas, ka to uzdevumi un pienākumi nerada interešu konfliktu.

3. Šā panta 1. un 2. punktā minēto sertifikācijas struktūru akreditāciju veic, pamatojoties uz kritērijiem, ko apstiprinājusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu, vai kolēģija, ievērojot 63. pantu. Ja akreditāciju veic, ievērojot šā panta 1. punkta b) apakšpunktu, minētās prasības papildina prasības, kas paredzētas Regulā (EK) Nr. 765/2008, un tehniskos noteikumus, kuros aprakstītas sertifikācijas struktūru metodes un procedūras.

4. Šā panta 1. punktā minētās sertifikācijas struktūras ir atbildīgas par to, lai sertifikāts tiktu piešķirts vai šāds sertifikāts tiktu atsaukts pēc pienācīgi veikta novērtējuma, neskarot pārziņa vai apstrādātāja pienākumu ievērot šo regulu. Akreditāciju piešķir uz laikposmu, kas nepārsniedz piecus gadus, un to var atjaunot ar tādiem pašiem nosacījumiem ar noteikumu, ka sertifikācijas struktūra atbilst šajā pantā izklāstītajām prasībām.

5. Šā panta 1. punktā minētās sertifikācijas struktūras sniedz kompetentajām uzraudzības iestādēm informāciju par prasītā sertifikāta piešķiršanas vai atsaukšanas iemesliem.

6. Uzraudzības iestāde viegli pieejamā veidā publisko šā panta 3. punktā minētās prasības un 42. panta 5. punktā minētos kritērijus. Uzraudzības iestādes minētās prasības un kritērijus iesniedz arī kolēģijai. Kolēģija visus sertifikācijas mehānismus un datu aizsardzības zīmogus sakopo reģistrā un dara tos publiski pieejamus, izmantojot jebkādus piemērotus līdzekļus.

7. Neskarot VIII nodaļu, kompetentā uzraudzības iestāde vai valsts akreditācijas struktūra atsauc sertifikācijas struktūras akreditāciju, ievērojot šā panta 1. punktu, ja nav izpildīti vai vairs netiek pildīti akreditācijas nosacījumi vai ja sertifikācijas struktūras veiktās darbības pārkāpj šo regulu.

8. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 92. pantu nolūkā precizēt prasības, kas jāņem vērā attiecībā uz 42. panta 1. punktā minētajiem datu aizsardzības sertifikācijas mehānismiem.

9. Komisija var pieņemt īstenošanas aktus, ar ko nosaka tehniskos standartus sertifikācijas mehānismiem un datu aizsardzības zīmogiem un marķējumiem, un mehānismus minēto sertifikācijas mehānismu, zīmogu un marķējumu popularizēšanai un atzīšanai. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.

V NODAĻA

Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām

whereas

(42) Ja apstrāde pamatojas uz datu subjekta piekrišanu, pārzinim būtu jāspēj uzskatāmi parādīt, ka datu subjekts ir devis piekrišanu apstrādes darbībai.
Jo īpaši saistībā ar rakstisku deklarāciju kādā citā jautājumā aizsardzības pasākumiem būtu jānodrošina, ka datu subjekts apzinās to, ka viņš sniedz piekrišanu un kādā apmērā viņš to dara.
Saskaņā ar Padomes Direktīvu 93/13/EEK (10) piekrišanas deklarācija, ko pārzinis ir iepriekš noformulējis, būtu jāsniedz saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, un tajā nevajadzētu būt negodīgiem noteikumiem.
Lai piekrišanu būtu apzināta, datu subjektam vajadzētu būt informētam vismaz par pārziņa identitāti un paredzētās personas datu apstrādes nolūkiem.
Piekrišana nebūtu uzskatāma par brīvi izteiktu, ja datu subjektam nav īstas vai brīvas izvēles, vai viņš nevar atteikties vai atsaukt savu izvēli bez nelabvēlīgām sekām.

- = -

(74) Būtu jāparedz pārziņa pienākumi un atbildība par ikvienu personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā.
Jo īpaši, pārzinim būtu jāuzliek pienākums īstenot piemērotus un efektīvus pasākumus, un viņam vajadzētu spēt uzskatāmi parādīt, ka apstrādes darbības notiek saskaņā ar šo regulu, tostarp, ka pasākumi ir iedarbīgi.
Minētajos pasākumos būtu jāņem vērā apstrādes raksturs, piemērošanas joma, konteksts un nolūki un risks, ko tā rada fizisku personu tiesībām un brīvībām.

- = -

(78) Personu tiesību un brīvību aizsardzībai attiecībā uz fiziskas personas datu apstrādi ir vajadzīgs veikt piemērotus tehniskos un organizatoriskos pasākumus ar mērķi nodrošināt šīs regulas prasību izpildi.
Lai pārzinis varētu uzskatāmi parādīt, ka šīs regulas noteikumi ir ievēroti, viņam būtu jāpieņem iekšējas vadlīnijas un jāīsteno pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem.
Starp šādiem pasākumiem cita starpā var būt apstrādāto personas datu daudzuma samazināšana, personas datu pseidonimizācija, tiklīdz tas ir iespējams, pārredzamība attiecībā uz funkcijām un personas datu apstrādi, kas datu subjektam dod iespēju pārraudzīt datu apstrādi un pārzinim dod iespēju izveidot un uzlabot drošības pasākumus.
Attīstot, izstrādājot, atlasot un izmantojot lietojumprogrammas, pakalpojumus un preces, kas balstās uz personas datu apstrādi vai apstrādā personas datus savu pienākumu veikšanai, preču, pakalpojumu un lietojumprogrammu ražotāji būtu jāmudina ņemt vērā tiesības uz datu aizsardzību, kad attīsta un izstrādā šādas preces, pakalpojumus un lietojumprogrammas, un pienācīgi ņemt vērā tehnikas līmeni, lai nodrošinātu, ka pārziņi un apstrādātāji spēj izpildīt savus datu aizsardzības pienākumus.
Arī saistībā ar publiskā iepirkuma konkursiem būtu jāņem vērā principi, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma.

- = -

(81) Lai nodrošinātu atbilstību šīs regulas prasībām saistībā ar apstrādi, kas apstrādātājam jāveic pārziņa vārdā, kad apstrādātājam tiek uzticēts veikt apstrādes darbības, pārzinim būtu jāizmanto vienīgi tādi apstrādātāji, kuri sniedz pietiekamas garantijas, jo īpaši speciālo zināšanu, uzticamības un līdzekļu ziņā, tādu tehnisko un organizatorisko pasākumu īstenošanai, kuri atbildīs šīs regulas prasībām, tostarp apstrādes drošības jomā.
Apstrādātāja atbilstību apstiprinātam rīcības kodeksam vai apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko uzskatāmi parāda pārziņa pienākumu izpildi.
Apstrāde, ko veic apstrādātājs, būtu jāreglamentē ar līgumu vai citu juridisku aktu atbilstīgi Savienības vai dalībvalsts tiesību aktiem, kas saista apstrādātāju ar pārzini; minētajā aktā būtu jāizklāsta apstrādes priekšmets un ilgums, apstrādes raksturs un nolūki, personas datu veids un datu subjektu kategorijas, ņemot vērā konkrētos apstrādātāja uzdevumus un pienākumus saistībā ar veicamo apstrādi un risku datu subjekta tiesībām un brīvībām.
Pārzinis un apstrādātājs var izvēlēties izmantot atsevišķu līgumu vai līguma standartklauzulas, ko pieņem vai nu tieši Komisija, vai uzraudzības iestāde saskaņā ar konsekvences mehānismu un pēc tam Komisija.
Pēc tam, kad apstrāde pārziņa vārdā ir pabeigta, apstrādātājam pēc pārziņa izvēles personas dati būtu jāatdod atpakaļ vai jādzēš, ja vien nav prasīts personas datus uzglabāt saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam.

- = -

(82) Lai uzskatāmi parādītu, ka ir ievēroti šīs regulas noteikumi, pārzinim vai apstrādātājam būtu jāglabā ieraksti par apstrādes darbībām, ko viņš veic savas atbildības ietvaros.
Katram pārzinim un apstrādātājam vajadzētu būt pienākumam sadarboties ar uzraudzības iestādi un pēc pieprasījuma darīt minētos ierakstus pieejamus, lai tie varētu kalpot minēto apstrādes darbību uzraudzības vajadzībām.

- = -

(84) Lai sekmētu šīs regulas noteikumu ievērošanu gadījumos, kad apstrādes darbības varētu izraisīt augstu risku fizisku personu tiesībām un brīvībām, pārzinim vajadzētu būt atbildīgam par novērtējuma par ietekmi uz datu aizsardzību veikšanu, lai jo īpaši izvērtētu minētā riska avotus, raksturu, specifiku un nopietnību.
Novērtējuma rezultāti būtu jāņem vērā, nosakot piemērotus pasākumus, kas veicami, lai uzskatāmi parādītu, ka personas datu apstrāde atbilst šai regulai.
Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka apstrādes darbības ietver augstu risku, ko pārzinis nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes būtu jāveic apspriešanās ar uzraudzības iestādi.

- = -

(85) Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai īpaši nelabvēlīga ekonomiskā vai sociālā situācija.
Tādēļ, tiklīdz pārzinim ir kļuvis zināms, ka noticis personas datu aizsardzības pārkāpums, pārzinim bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, būtu jāpaziņo par personas datu aizsardzības pārkāpumu uzraudzības iestādei, izņemot, ja pārzinis spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām.
Ja šādu paziņojumu nevar paveikt 72 stundu laikā, paziņojumam būtu jāpievieno informācija par kavēšanās iemesliem, un informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās.

- = -

(90) Šādos gadījumos pārzinim pirms apstrādes būtu jāveic novērtējums par ietekmi uz datu aizsardzību, lai izvērtētu augstā riska iespējamību un nopietnību, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus un riska avotus.
Minētajā novērtējumā par ietekmi jo īpaši būtu jāietver paredzētie pasākumi, aizsardzības pasākumi un mehānismi, kas mazina minēto risku, nodrošina personas datu aizsardzību un uzskatāmi parāda, ka šīs regulas noteikumi ir ievēroti.

- = -

dal 2004 diritto e informatica