| 4.5.2016 | EN | Official Journal of the European Union | L 119/1 | 4.5.2016 | LV | Eiropas Savienības Oficiālais Vēstnesis | L 119/1 |
| REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL | EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2016/679 |
| of 27 April 2016 | (2016. gada 27. aprīlis) |
| on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) | par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) |
| (Text with EEA relevance) | (Dokuments attiecas uz EEZ) |
| THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, | EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME, |
| Having regard to the Treaty on the Functioning of the European Union, and in particular Article 16 thereof, | ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 16. pantu, |
| Having regard to the proposal from the European Commission, | ņemot vērā Eiropas Komisijas priekšlikumu, |
| After transmission of the draft legislative act to the national parliaments, | pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem, |
| Having regard to the opinion of the European Economic and Social Committee (1), | ņemot vērā Eiropas Ekonomikas un sociālo lietu komitejas atzinumu (1), |
| Having regard to the opinion of the Committee of the Regions (2), | ņemot vērā Reģionu komitejas atzinumu (2), |
| Acting in accordance with the ordinary legislative procedure (3), | saskaņā ar parasto likumdošanas procedūru (3), |
| Whereas: | tā kā: |
| (1) | The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her. | (1) | Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību ir pamattiesības. Eiropas Savienības Pamattiesību hartas (“harta”) 8. panta 1. punkts un Līguma par Eiropas Savienības darbību (LESD) 16. panta 1. punkts paredz, ka ikvienai personai ir tiesības uz savu personas datu aizsardzību. |
| (2) | The principles of, and rules on the protection of natural persons with regard to the processing of their personal data should, whatever their nationality or residence, respect their fundamental rights and freedoms, in particular their right to the protection of personal data. This Regulation is intended to contribute to the accomplishment of an area of freedom, security and justice and of an economic union, to economic and social progress, to the strengthening and the convergence of the economies within the internal market, and to the well-being of natural persons. | (2) | Noteikumiem par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un tās principiem neatkarīgi no fizisko personu valstspiederības vai dzīvesvietas būtu jāievēro pamattiesības un pamatbrīvības un jo īpaši tiesības uz personas datu aizsardzību. Ar šo regulu paredzēts veicināt brīvības, drošības un tiesiskuma telpas un ekonomikas savienības izveidi, ekonomisko un sociālo progresu, iekšējā tirgus ekonomiku izaugsmi un konverģenci un fizisku personu labklājību. |
| (3) | Directive 95/46/EC of the European Parliament and of the Council (4) seeks to harmonise the protection of fundamental rights and freedoms of natural persons in respect of processing activities and to ensure the free flow of personal data between Member States. | (3) | Eiropas Parlamenta un Padomes Direktīvas 95/46/EK (4) mērķis ir saskaņot fizisku personu pamattiesību un pamatbrīvību aizsardzību attiecībā uz apstrādes darbībām un nodrošināt personas datu brīvu apriti starp dalībvalstīm. |
| (4) | The processing of personal data should be designed to serve mankind. The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced against other fundamental rights, in accordance with the principle of proportionality. This Regulation respects all fundamental rights and observes the freedoms and principles recognised in the Charter as enshrined in the Treaties, in particular the respect for private and family life, home and communications, the protection of personal data, freedom of thought, conscience and religion, freedom of expression and information, freedom to conduct a business, the right to an effective remedy and to a fair trial, and cultural, religious and linguistic diversity. | (4) | Personas datu apstrāde būtu jāveido tā, lai tā kalpotu cilvēkam. Tiesības uz personas datu aizsardzību nav absolūta prerogatīva; tās ir jāņem vērā saistībā ar to funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām saskaņā ar proporcionalitātes principu. Šajā regulā ir ievērotas visas pamattiesības, brīvības un principi, kas atzīti hartā un ietverti Līgumos, jo īpaši privātās un ģimenes dzīves, mājokļa un saziņas neaizskaramība, personas datu aizsardzība, domu, pārliecības un ticības brīvība, vārda un informācijas brīvība, darījumdarbības brīvība, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu un kultūru, reliģiju un valodu daudzveidība. |
| (5) | The economic and social integration resulting from the functioning of the internal market has led to a substantial increase in cross-border flows of personal data. The exchange of personal data between public and private actors, including natural persons, associations and undertakings across the Union has increased. National authorities in the Member States are being called upon by Union law to cooperate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State. | (5) | Ekonomikas un sociālā integrācija, kas izriet no iekšējā tirgus darbības, ir novedusi pie personas datu pārrobežu plūsmu ievērojama pieauguma. Personas datu apmaiņa starp publiskā un privātā sektora dalībniekiem, tostarp fiziskām personām, apvienībām un uzņēmumiem, visā Savienībā ir palielinājusies. Savienības tiesības aicina valsts iestādes dalībvalstīs sadarboties un apmainīties ar personas datiem, lai varētu pildīt savus pienākumus vai veikt uzdevumus kādas iestādes vārdā citā dalībvalstī. |
| (6) | Rapid technological developments and globalisation have brought new challenges for the protection of personal data. The scale of the collection and sharing of personal data has increased significantly. Technology allows both private companies and public authorities to make use of personal data on an unprecedented scale in order to pursue their activities. Natural persons increasingly make personal information available publicly and globally. Technology has transformed both the economy and social life, and should further facilitate the free flow of personal data within the Union and the transfer to third countries and international organisations, while ensuring a high level of the protection of personal data. | (6) | Straujā tehnoloģiju attīstība un globalizācija ir radījusi jaunas problēmas personas datu aizsardzības jomā. Personas datu vākšanas un apmaiņas apjoms ir būtiski pieaudzis. Tehnoloģija ļauj gan privātām uzņēmējsabiedrībām, gan publiskām iestādēm vēl nepieredzētā apjomā savas darbības mērķiem izmantot personas datus. Fiziskas personas aizvien biežāk personiska rakstura informāciju dara publiski un globāli pieejamu. Tehnoloģija ir pārveidojusi gan ekonomiku, gan sociālo dzīvi, un tai arī turpmāk būtu jāuzlabo personas datu brīva aprite Savienībā un nosūtīšana uz trešām valstīm un starptautiskām organizācijām, vienlaikus nodrošinot personas datu augsta līmeņa aizsardzību. |
| (7) | Those developments require a strong and more coherent data protection framework in the Union, backed by strong enforcement, given the importance of creating the trust that will allow the digital economy to develop across the internal market. Natural persons should have control of their own personal data. Legal and practical certainty for natural persons, economic operators and public authorities should be enhanced. | (7) | Šī notikumu gaita nozīmē, ka ir vajadzīgs stingrāks un saskaņotāks datu aizsardzības regulējums Savienībā, ko stiprina pienācīga izpilde, ņemot vērā to, cik nozīmīgi ir veidot uzticību, kas ļaus iekšējā tirgū uzplaukt digitālajai ekonomikai. Fiziskām personām būtu jāspēj kontrolēt savus personas datus. Būtu jāstiprina juridiskā un praktiskā noteiktība fizisku personu, ekonomikas dalībnieku un publisko iestāžu labā. |
| (8) | Where this Regulation provides for specifications or restrictions of its rules by Member State law, Member States may, as far as necessary for coherence and for making the national provisions comprehensible to the persons to whom they apply, incorporate elements of this Regulation into their national law. | (8) | Ja šajā regulā paredzēts, ka tās noteikumi tiek konkretizēti vai ierobežoti ar dalībvalstu tiesību aktiem, dalībvalstis, ciktāl tas vajadzīgs saskaņotības dēļ un lai valstu noteikumus padarītu saprotamus tām personām, kam tie ir piemērojami, var valstu tiesību aktos iekļaut šīs regulas elementus. |
| (9) | The objectives and principles of Directive 95/46/EC remain sound, but it has not prevented fragmentation in the implementation of data protection across the Union, legal uncertainty or a widespread public perception that there are significant risks to the protection of natural persons, in particular with regard to online activity. Differences in the level of protection of the rights and freedoms of natural persons, in particular the right to the protection of personal data, with regard to the processing of personal data in the Member States may prevent the free flow of personal data throughout the Union. Those differences may therefore constitute an obstacle to the pursuit of economic activities at the level of the Union, distort competition and impede authorities in the discharge of their responsibilities under Union law. Such a difference in levels of protection is due to the existence of differences in the implementation and application of Directive 95/46/EC. | (9) | Direktīvas 95/46/EK mērķi un principi joprojām ir spēkā, taču tā nav spējusi novērst datu aizsardzības īstenošanas sadrumstalotību Savienībā, juridisko nenoteiktību vai tāda uzskata plašu izplatību sabiedrībā, ka pastāv ievērojams risks fizisku personu aizsardzībai, jo īpaši attiecībā uz tiešsaistes aktivitātēm. Fizisku personu tiesību un brīvību aizsardzības līmeņa atšķirības, jo īpaši tiesību uz personas datu aizsardzību atšķirības dalībvalstīs attiecībā uz personas datu apstrādi, var kavēt personas datu brīvu apriti Savienībā. Minētās atšķirības tādēļ var kavēt iesaistīšanos virknē ekonomisku darbību Savienības līmenī, var radīt konkurences izkropļojumus un kavēt iestādes to pienākumu izpildē, kas paredzēti Savienības tiesību aktos. Šāda atšķirība aizsardzības līmeņos ir radusies tāpēc, ka Direktīva 95/46/EK tiek īstenota un piemērota dažādi. |
| (10) | In order to ensure a consistent and high level of protection of natural persons and to remove the obstacles to flows of personal data within the Union, the level of protection of the rights and freedoms of natural persons with regard to the processing of such data should be equivalent in all Member States. Consistent and homogenous application of the rules for the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data should be ensured throughout the Union. Regarding the processing of personal data for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Member States should be allowed to maintain or introduce national provisions to further specify the application of the rules of this Regulation. In conjunction with the general and horizontal law on data protection implementing Directive 95/46/EC, Member States have several sector-specific laws in areas that need more specific provisions. This Regulation also provides a margin of manoeuvre for Member States to specify its rules, including for the processing of special categories of personal data (‘sensitive data’). To that extent, this Regulation does not exclude Member State law that sets out the circumstances for specific processing situations, including determining more precisely the conditions under which the processing of personal data is lawful. | (10) | Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un pamtbrīvību aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana. Attiecībā uz personas datu apstrādi, kuru veic, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras, būtu jāļauj dalībvalstīm saglabāt vai ieviest valsts noteikumus, ar ko vēl vairāk precizē šīs regulas noteikumu piemērošanu. Saistībā ar vispārējiem un horizontāliem tiesību aktiem par datu aizsardzību, ar kuriem īsteno Direktīvu 95/46/EK, dalībvalstīm ir vairāki uz konkrētām nozarēm attiecināmi tiesību akti jomās, kurās ir vajadzīgi precīzāki noteikumi. Šajā regulā dalībvalstīm ir arī paredzēta rīcības brīvība precizēt tās noteikumus, tostarp attiecībā uz īpašu kategoriju personas datu (“sensitīvu datu”) apstrādi. Šajā ziņā ar šo regulu neizslēdz dalībvalstu tiesību aktus, kuros nosaka konkrētu apstrādes situāciju apstākļus, tostarp precīzāk nosakot apstākļus, kādos personas datu apstrāde ir likumīga. |
| (11) | Effective protection of personal data throughout the Union requires the strengthening and setting out in detail of the rights of data subjects and the obligations of those who process and determine the processing of personal data, as well as equivalent powers for monitoring and ensuring compliance with the rules for the protection of personal data and equivalent sanctions for infringements in the Member States. | (11) | Lai personas datu aizsardzība visā Savienībā būtu efektīva, nepieciešams stiprināt un sīki noteikt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus un nosaka to apstrādi, kā arī nepieciešams piešķirt arī atbilstošas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu un noteikt atbilstošas sankcijas par pārkāpumiem dalībvalstīs. |
| (12) | Article 16(2) TFEU mandates the European Parliament and the Council to lay down the rules relating to the protection of natural persons with regard to the processing of personal data and the rules relating to the free movement of personal data. | (12) | LESD 16. panta 2. punktā Eiropas Parlaments un Padome tiek pilnvaroti paredzēt noteikumus par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un noteikumus par personas datu brīvu apriti. |
| (13) | In order to ensure a consistent level of protection for natural persons throughout the Union and to prevent divergences hampering the free movement of personal data within the internal market, a Regulation is necessary to provide legal certainty and transparency for economic operators, including micro, small and medium-sized enterprises, and to provide natural persons in all Member States with the same level of legally enforceable rights and obligations and responsibilities for controllers and processors, to ensure consistent monitoring of the processing of personal data, and equivalent sanctions in all Member States as well as effective cooperation between the supervisory authorities of different Member States. The proper functioning of the internal market requires that the free movement of personal data within the Union is not restricted or prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. To take account of the specific situation of micro, small and medium-sized enterprises, this Regulation includes a derogation for organisations with fewer than 250 employees with regard to record-keeping. In addition, the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation. The notion of micro, small and medium-sized enterprises should draw from Article 2 of the Annex to Commission Recommendation 2003/361/EC (5). | (13) | Lai nodrošinātu fizisku personu konsekventu aizsardzību visā Savienībā un novērstu atšķirības, kas traucē personas datu brīvu apriti iekšējā tirgū, ir nepieciešama regula, lai nodrošinātu juridisko noteiktību un pārredzamību ekonomikas dalībniekiem, tostarp mikrouzņēmumiem, maziem un vidējiem uzņēmumiem, un nodrošinātu fiziskām personām visās dalībvalstīs vienādas juridiski īstenojamas tiesības un pienākumus un pārziņu un apstrādātāju atbildību, nodrošinātu konsekventu personas datu apstrādes uzraudzību un atbilstošas sankcijas visās dalībvalstīs, kā arī efektīvu sadarbību starp uzraudzības iestādēm dažādās dalībvalstīs. Iekšējā tirgus pienācīgai darbībai nepieciešams, lai personas datu brīva aprite Savienībā nav ierobežota vai aizliegta, pamatojoties uz iemesliem, kas saistīti ar fizisku personu aizsardzību attiecībā uz personas datu apstrādi. Lai ņemtu vērā mikrouzņēmumu, mazo un vidējo uzņēmumu īpašo situāciju, šajā regulā ietverta atkāpe organizācijām ar mazāk nekā 250 darbiniekiem saistībā ar reģistriem. Turklāt Savienības iestādes un struktūras, dalībvalstis un to uzraudzības iestādes tiek rosinātas, piemērojot šo regulu, ņemt vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības. Mikrouzņēmumu, mazo un vidējo uzņēmumu jēdziens būtu jābalsta uz Komisijas Ieteikuma 2003/361/EK (5) pielikuma 2. pantu. |
| (14) | The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data. This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person. | (14) | Šajā regulā noteiktajai aizsardzībai attiecībā uz personas datu apstrādi būtu jāattiecas uz fiziskām personām neatkarīgi no to valstspiederības vai dzīvesvietas. Šī regula neattiecas uz tādu personas datu apstrādi, kas skar juridiskas personas un jo īpaši uzņēmumus, kuriem ir juridiskas personas statuss, tostarp juridiskās personas nosaukumu, uzņēmējdarbības formu un kontaktinformāciju. |
| (15) | In order to prevent creating a serious risk of circumvention, the protection of natural persons should be technologically neutral and should not depend on the techniques used. The protection of natural persons should apply to the processing of personal data by automated means, as well as to manual processing, if the personal data are contained or are intended to be contained in a filing system. Files or sets of files, as well as their cover pages, which are not structured according to specific criteria should not fall within the scope of this Regulation. | (15) | Lai izvairītos no likuma apiešanas nopietna riska radīšanas, fizisku personu aizsardzībai vajadzētu būt tehnoloģiski neitrālai un tai nevajadzētu būt atkarīgai no izmantotajiem paņēmieniem. Fizisku personu aizsardzībai būtu jāattiecas gan uz personas datu apstrādi ar automatizētiem līdzekļiem, gan uz datu manuālu apstrādi, ja personas dati ir ietverti vai tos paredzēts ietvert kartotēkā. Šīs regulas darbības jomai nebūtu jāaptver datnes vai datņu kopumi, kā arī to ievadlapas, kuras nav sakārtotas atbilstoši konkrētiem kritērijiem. |
| (16) | This Regulation does not apply to issues of protection of fundamental rights and freedoms or the free flow of personal data related to activities which fall outside the scope of Union law, such as activities concerning national security. This Regulation does not apply to the processing of personal data by the Member States when carrying out activities in relation to the common foreign and security policy of the Union. | (16) | Šo regulu nepiemēro jautājumiem par pamattiesību un pamatbrīvību aizsardzību vai tādu personas datu brīvu apriti, kas saistīti ar darbībām, kuras neietilpst Savienības tiesību darbības jomā, piemēram, darbībām attiecībā uz valsts drošību. Šo regulu nepiemēro personas datu apstrādei, ko veic dalībvalstis, rīkojoties saistībā ar Savienības kopējo ārpolitiku un drošības politiku. |
| (17) | Regulation (EC) No 45/2001 of the European Parliament and of the Council (6) applies to the processing of personal data by the Union institutions, bodies, offices and agencies. Regulation (EC) No 45/2001 and other Union legal acts applicable to such processing of personal data should be adapted to the principles and rules established in this Regulation and applied in the light of this Regulation. In order to provide a strong and coherent data protection framework in the Union, the necessary adaptations of Regulation (EC) No 45/2001 should follow after the adoption of this Regulation, in order to allow application at the same time as this Regulation. | (17) | Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (6) piemēro personas datu apstrādei Savienības iestādēs, struktūrās, birojos un aģentūrās. Regula (EK) Nr. 45/2001 un citi Savienības tiesību akti, ko piemēro šādai personas datu apstrādei, būtu jāpielāgo principiem un noteikumiem, kas noteikti šajā regulā, un jāpiemēro saskaņā ar šo regulu. Lai nodrošinātu stingru un saskaņotu regulējumu datu aizsardzībai Savienībā, pēc šīs regulas pieņemšanas būtu jāveic vajadzīgie pielāgojumi Regulā (EK) Nr. 45/2001, lai tos varētu piemērot vienlaikus ar šo regulu. |
| (18) | This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities. | (18) | Šo regulu nepiemēro personas datu apstrādei, kuru veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā un kura tādējādi nav saistīta ar profesionālu vai komerciālu darbību. Personiski vai mājsaimnieciski pasākumi varētu ietvert korespondenci un adrešu sarakstu turēšanu, vai sociālo tīklošanos un tiešsaistes darbības, ko veic saistībā ar šādiem pasākumiem. Tomēr šo regulu piemēro pārziņiem vai apstrādātājiem, kas nodrošina personas datu apstrādes līdzekļus šādām personiska vai mājsaimnieciska rakstura darbībām. |
| (19) | The protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security and the free movement of such data, is the subject of a specific Union legal act. This Regulation should not, therefore, apply to processing activities for those purposes. However, personal data processed by public authorities under this Regulation should, when used for those purposes, be governed by a more specific Union legal act, namely Directive (EU) 2016/680 of the European Parliament and of the Council (7). Member States may entrust competent authorities within the meaning of Directive (EU) 2016/680 with tasks which are not necessarily carried out for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and prevention of threats to public security, so that the processing of personal data for those other purposes, in so far as it is within the scope of Union law, falls within the scope of this Regulation. | With regard to the processing of personal data by those competent authorities for purposes falling within scope of this Regulation, Member States should be able to maintain or introduce more specific provisions to adapt the application of the rules of this Regulation. Such provisions may determine more precisely specific requirements for the processing of personal data by those competent authorities for those other purposes, taking into account the constitutional, organisational and administrative structure of the respective Member State. When the processing of personal data by private bodies falls within the scope of this Regulation, this Regulation should provide for the possibility for Member States under specific conditions to restrict by law certain obligations and rights when such a restriction constitutes a necessary and proportionate measure in a democratic society to safeguard specific important interests including public security and the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. This is relevant for instance in the framework of anti-money laundering or the activities of forensic laboratories. | (19) | Fizisku personu aizsardzība attiecībā uz personas datu apstrādi, ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai lai sauktu pie atbildības par tiem, vai lai izpildītu kriminālsodus, tostarp pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, un šādu datu brīva aprite ir konkrēta Savienības tiesību akta priekšmets. Tāpēc šī regula nebūtu jāpiemēro apstrādes darbībām, kas veiktas minētajos nolūkos. Tomēr personas datu apstrāde, ko minētajos nolūkos saskaņā ar šo regulu veic publiskas iestādes, būtu jāreglamentē konkrētākā Savienības tiesību aktā, proti, Eiropas Parlamenta un Padomes Direktīvā (ES) 2016/680 (7). Dalībvalstis kompetentajām iestādēm Direktīvas (ES) 2016/680 nozīmē var uzticēt uzdevumus, kas nav obligāti saistīti ar darbībām, ko veic nolūkā novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem vai nolūkā izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst, tādējādi šajos citos nolūkos veiktā personas datu apstrāde, ciktāl tā ietilpst Savienības tiesību aktu darbības jomā, | ietilpst šīs regulas darbības jomā. Attiecībā uz personas datu apstrādi, ko minētās kompetentās iestādes veic nolūkos, kas ir šīs regulas darbības jomā, dalībvalstīm būtu jāspēj uzturēt spēkā vai ieviest konkrētākus noteikumus, lai pielāgotu šīs regulas noteikumu piemērošanu. Šādos noteikumos var vēl precīzāk noteikt konkrētas prasības personas datu apstrādei, ko minētās kompetentās iestādes veic šajos citos nolūkos, ņemot vērā attiecīgās dalībvalsts konstitucionālo, organizatorisko un administratīvo struktūru. Ja personas datu apstrāde, ko veic privātas struktūras, ietilpst šīs regulas darbības jomā, šajā regulā būtu jāparedz dalībvalstīm iespēja īpašos gadījumos ar likumu ierobežot konkrētus pienākumus un tiesības, ja šāda ierobežošana demokrātiskā sabiedrībā ir nepieciešams un samērīgs pasākums, lai garantētu konkrētu svarīgu interešu aizsardzību, tostarp sabiedrisko drošību un noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem, vai kriminālsodu izpildi, tostarp pasargāšanu no draudiem sabiedriskajai drošībai un to novēršanu. Tas ir svarīgi, piemēram, saistībā ar nelikumīgi iegūto līdzekļu legalizēšanas apkarošanu vai kriminālistikas laboratoriju darbībām. |
| (20) | While this Regulation applies, inter alia, to the activities of courts and other judicial authorities, Union or Member State law could specify the processing operations and processing procedures in relation to the processing of personal data by courts and other judicial authorities. The competence of the supervisory authorities should not cover the processing of personal data when courts are acting in their judicial capacity, in order to safeguard the independence of the judiciary in the performance of its judicial tasks, including decision-making. It should be possible to entrust supervision of such data processing operations to specific bodies within the judicial system of the Member State, which should, in particular ensure compliance with the rules of this Regulation, enhance awareness among members of the judiciary of their obligations under this Regulation and handle complaints in relation to such data processing operations. | (20) | Kaut arī šī regula cita starpā ir piemērojama tiesu un citu tiesu iestāžu darbībai, Savienības vai dalībvalstu tiesību aktos varētu precizēt apstrādes darbības un apstrādes procedūras attiecībā uz personas datu apstrādi, ko veic tiesas un citas tiesu iestādes. Ja tiesa personas datus apstrādā, veicot tiesas spriešanas funkciju, šāda apstrāde nebūtu jāiekļauj uzraudzības iestādes kompetencē, lai nodrošinātu, ka tiesu iestādes ir neatkarīgas savu tiesu varas uzdevumu izpildē, tostarp lēmumu pieņemšanā. Šādu datu apstrādes darbību uzraudzību vajadzētu būt iespējai uzticēt attiecīgās dalībvalsts tiesu sistēmas konkrētām struktūrām, kurām jo īpaši būtu jānodrošina atbilstība šīs regulas noteikumiem, jāveicina tiesu iestāžu darbinieku informētība par to pienākumiem, kas ietverti šajā regulā, un jāizskata sūdzības par šādām datu apstrādes darbībām. |
| (21) | This Regulation is without prejudice to the application of Directive 2000/31/EC of the European Parliament and of the Council (8), in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive. That Directive seeks to contribute to the proper functioning of the internal market by ensuring the free movement of information society services between Member States. | (21) | Šī regula neskar Eiropas Parlamenta un Padomes Direktīvas 2000/31/EK (8) piemērošanu, jo īpaši minētās direktīvas 12.–15. panta noteikumu par starpnieku pakalpojumu sniedzēju saistībām piemērošanu. Minētās direktīvas mērķis ir veicināt iekšējā tirgus pienācīgu darbību, nodrošinot informācijas sabiedrības pakalpojumu brīvu apriti starp dalībvalstīm. |
| (22) | Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect. | (22) | Personas datu apstrādei, kas notiek saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbībā Savienībā, būtu jānotiek saskaņā ar šo regulu neatkarīgi no tā, vai pati apstrāde notiek Savienībā. Uzņēmējdarbības veikšana nozīmē efektīvu un faktisku darbību, ko veic pastāvīga vienība. Šādas vienības juridiskā forma neatkarīgi no tā, vai tā ir filiāle vai meitasuzņēmums ar juridiskas personas statusu, minētajā sakarā nav noteicošais faktors. |
| (23) | In order to ensure that natural persons are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data of data subjects who are in the Union by a controller or a processor not established in the Union should be subject to this Regulation where the processing activities are related to offering goods or services to such data subjects irrespective of whether connected to a payment. In order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union. Whereas the mere accessibility of the controller's, processor's or an intermediary's website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union. | (23) | Lai nodrošinātu, ka fiziskām personām netiek liegta aizsardzība, kas tām pienākas saskaņā ar šo regulu, Savienībā esošu datu subjektu personas datu apstrāde, ko veic pārzinis vai apstrādātājs, kas neveic uzņēmējdarbību Savienībā, būtu jāveic saskaņā ar šo regulu, ja apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem neatkarīgi no tā, vai tā ir saistīta ar samaksu. Lai noteiktu, vai šāds pārzinis vai apstrādātājs piedāvā preces vai pakalpojumus datu subjektiem, kuri ir Savienībā, būtu jāpārliecinās, vai ir acīmredzams, ka pārzinis vai apstrādātājs ir iecerējis piedāvāt pakalpojumus datu subjektiem vienā vai vairākās Savienības dalībvalstīs. Tā kā, lai pārliecinātos par šādu ieceri, nepietiek tikai ar to, ka ir pieejama pārziņa, apstrādātāja vai starpnieka tīmekļa vietne Savienībā, e-pasta adrese vai cita kontaktinformācija, vai ka tiek izmantota valoda, ko parasti izmanto trešā valstī, kurā pārzinis veic uzņēmējdarbību, faktori, piemēram, tādas valodas vai valūtas izmantošana, kuru parasti izmanto vienā vai vairākās dalībvalstīs, piedāvājot pasūtīt preces un pakalpojumus minētajā citā valodā, vai Savienībā esošu klientu vai lietotāju pieminēšana var liecināt par to, ka pārzinis ir iecerējis piedāvāt preces vai pakalpojumus datu subjektiem Savienībā. |
| (24) | The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union. In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes. | (24) | Savienībā esošu datu subjektu personas datu apstrāde, ko veic pārzinis vai apstrādātājs, kas neveic uzņēmējdarbību Savienībā, būtu jāveic saskaņā ar šo regulu arī tad, ja tā ir saistīta ar šādu datu subjektu uzvedības novērošanu, ciktāl to uzvedība notiek Savienībā. Lai noteiktu, vai apstrādes darbību var uzskatīt par datu subjektu “uzvedības novērošanu”, būtu jāpārliecinās, vai fiziska persona tiek izsekota internetā, tostarp vai var turpmāk izmantot personas datu apstrādes paņēmienus, kas ietver fiziskas personas profilēšanu, jo īpaši, lai pieņemtu lēmumus par datu subjektu vai lai analizētu vai iepriekš paredzētu datu subjekta personīgās vēlmes, uzvedību un attieksmi. |
| (25) | Where Member State law applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State's diplomatic mission or consular post. | (25) | Ja, ievērojot starptautiskās publiskās tiesības, ir piemērojamas dalībvalsts tiesības, tad šī regula būtu piemērojama arī pārzinim, kas neveic uzņēmējdarbību Savienībā, piemēram, pārzinim dalībvalsts diplomātiskajā pārstāvniecībā vai konsulātā. |
| (26) | The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes. | (26) | Datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu. Personas dati, kuri ir pseidonimizēti un kurus, izmantojot papildu informāciju, varētu attiecināt uz fizisku personu, būtu jāuzskata par informāciju par identificējamu fizisku personu. Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu. Lai pārliecinātos, vai līdzekļus varētu saprātīgi izmantot fiziskas personas identificēšanai, būtu jāņem vērā visi objektīvie faktori, piemēram, identificēšanai nepieciešamās izmaksas un laiks, ņemot vērā apstrādes laikā pieejamo tehnoloģiju un tehnoloģiju attīstību. Tādēļ datu aizsardzības principi nebūtu jāpiemēro anonīmai informācijai, proti, informācijai, kura neattiecas uz identificētu vai identificējamu fizisku personu, vai personas datiem, ko sniedz anonīmi tādā veidā, ka datu subjekts nav vai vairs nav identificējams. Tādēļ šī regula neattiecas uz šādas anonīmas informācijas apstrādi, tostarp statistikas vai pētniecības nolūkos. |
| (27) | This Regulation does not apply to the personal data of deceased persons. Member States may provide for rules regarding the processing of personal data of deceased persons. | (27) | Šo regulu nepiemēro mirušu personu personas datiem. Dalībvalstis var paredzēt noteikumus par mirušu personu personas datu apstrādi. |
| (28) | The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection. | (28) | Pseidonimizācijas piemērošana personas datiem var mazināt riskus attiecīgajiem datu subjektiem un palīdzēt pārziņiem un apstrādātājiem izpildīt datu aizsardzības pienākumus. Tādējādi skaidra “pseidonimizācijas” ieviešana šajā regulā nav paredzēta tādēļ, lai izslēgtu jebkurus citus datu aizsardzības pasākumus. |
| (29) | In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller. | (29) | Lai radītu stimulus piemērot pseidonimizāciju personas datu apstrādē, tajā pašā pārzinī vajadzētu būt iespējamiem pseidonimizācijas pasākumiem, kas vienlaikus ļauj veikt vispārēju analīzi, ja minētais pārzinis ir veicis tehniskus un organizatoriskus pasākumus, kuri vajadzīgi, lai saistībā ar attiecīgo apstrādi nodrošinātu, ka tiek īstenota šī regula, un ka papildu informācija personas datu sasaistei ar konkrētu datu subjektu tiek turēta atsevišķi. Pārzinim, apstrādājot personas datus, būtu jānorāda pilnvarotās personas tajā pašā pārzinī. |
| (30) | Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them. | (30) | Fiziskas personas var tikt saistītas ar tiešsaistes identifikatoriem, ko izmanto viņu ierīcēs, lietojumprogrammās, rīkos un protokolos, piemēram, ar interneta protokola adresēm, sīkdatņu identifikatoriem vai citiem identifikatoriem, piemēram, radiofrekvenciālās identifikācijas marķējumiem. Tādējādi, iespējams, tiek atstātas pēdas, kuras jo īpaši savienojumā ar unikāliem identifikatoriem un citu informāciju, ko saņem serveri, var izmantot, lai veidotu fizisku personu profilus un lai identificētu tās. |
| (31) | Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing. | (31) | Publiskas iestādes, kam personas datus izpauž saskaņā ar juridisku pienākumu, lai tās varētu pildīt savus oficiālos uzdevumus, piemēram, nodokļu iestādes un muitas dienesti, finanšu izmeklēšanas vienības, neatkarīgas administratīvās iestādes, vai finanšu tirgus iestādes, kuras atbild par vērtspapīru tirgu regulējumu un uzraudzību, nebūtu jāuzskata par saņēmējām, ja tās saņem personas datus, kas ir vajadzīgi, lai veiktu konkrētu izmeklēšanu vispārējās interesēs, saskaņā ar Savienības vai dalībvalsts tiesību aktiem. Publisko iestāžu nosūtītiem informācijas pieprasījumiem vienmēr vajadzētu būt rakstiskiem, motivētiem un neregulāriem, un tiem nebūtu jāattiecas uz visu kartotēku kopumā vai jārada kartotēku savstarpēji savienojumi. Personas datu apstrādei, ko veic minētās publiskās iestādes, būtu jāatbilst piemērojamajiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem. |
| (32) | Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. | (32) | Piekrišana būtu jādod ar skaidri apstiprinošu darbību, kas nozīmē brīvi sniegtu, konkrētu, apzinātu un viennozīmīgu norādi par datu subjekta piekrišanu ar viņu saistīto personas datu apstrādei, piemēram, ar rakstisku, tostarp elektronisku, vai mutisku paziņojumu. Tas varētu ietvert laukuma atzīmēšanu ar ķeksīti interneta tīmekļa vietnē, informācijas sabiedrības pakalpojumu tehnisko iestatījumu izvēli vai citu paziņojumu vai rīcību, kas šajā gadījumā skaidri norāda, ka datu subjekts piekrīt piedāvātajai savu personas datu apstrādei. Klusēšana, iepriekš atzīmēti laukumi vai atturēšanās no darbības tādējādi nebūtu jāuzskata par piekrišanu. Piekrišanai būtu jāattiecas uz visām apstrādes darbībām, ko veic vienā un tajā pašā nolūkā vai nolūkos. Ja apstrādei ir vairāki nolūki, piekrišana būtu jādod visiem nolūkiem. Ja datu subjekta piekrišana ir jādod pēc elektroniska pieprasījuma, pieprasījumam jābūt skaidram, kodolīgam, un tam nav nevajadzīgi jāpārtrauc tā pakalpojuma izmantošana, par ko tas tiek sniegts. |
| (33) | It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose. | (33) | Bieži vien datu vākšanas laikā, kad dati tiek vākti zinātniskās pētniecības nolūkos, nav iespējams pilnībā identificēt personas datu apstrādes nolūku. Tāpēc būtu jāļauj datu subjektiem dot savu piekrišanu attiecībā uz dažām zinātniskās pētniecības jomām, ja tiek ievēroti atzīti zinātniskās pētniecības ētiskie standarti. Datu subjektiem vajadzētu būt iespējai dot piekrišanu tikai konkrētām pētniecības jomām vai pētniecības projektu daļām, ciktāl to ļauj paredzētais nolūks. |
| (34) | Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained. | (34) | Ģenētiskie dati būtu jādefinē kā tādi personas dati, kas attiecas uz fiziskas personas mantotām vai iegūtām ģenētiskajām pazīmēm un kas izriet no attiecīgās fiziskās personas bioloģiskā parauga analīzes, jo īpaši hromosomu, dezoksiribonukleīnskābes (DNS) vai ribonukleīnskābes (RNS) analīzes, vai no cita elementa analīzes, kas ļauj iegūt līdzvērtīgu informāciju. |
| (35) | Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive 2011/24/EU of the European Parliament and of the Council (9) to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test. | (35) | Personas datos attiecībā uz veselību būtu jāiekļauj visi dati par datu subjekta veselības stāvokli, kuri atspoguļo informāciju par datu subjekta kādreizējo, tagadējo vai prognozējamo fiziskās vai garīgās veselības stāvokli. Tas ietver tādu informāciju par fizisko personu, kas savākta, minēto fizisko personu reģistrējot veselības aprūpes pakalpojumu sniegšanai vai to sniegšanas laikā, kā minēts Eiropas Parlamenta un Padomes Direktīvā 2011/24/ES (9); skaitlis, simbols vai zīme, kas piešķirta fiziskai personai, lai to unikāli identificētu ar veselību saistītos nolūkos; informācija, kas iegūta, pārbaudot vai izmeklējot kādu ķermeņa daļu vai no tā iegūtu materiālu, tostarp no ģenētiskiem datiem un bioloģiskiem paraugiem; un jebkāda informācija, piemēram, par slimību, invaliditāti, slimības risku, slimības vēsturi, klīnisko aprūpi vai par datu subjekta fizioloģisko vai biomedicīnisko stāvokli neatkarīgi no informācijas avota, piemēram, ārsta vai cita veselības aprūpes speciālista, slimnīcas, medicīniskās ierīces vai in vitro diagnostikas testa. |
| (36) | The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking. | (36) | Pārziņa galvenajai uzņēmējdarbības vietai Savienībā vajadzētu būt tā galvenās pārvaldes atrašanās vietai Savienībā, ja vien lēmumus par personas datu apstrādes nolūkiem un līdzekļiem nepieņem citā pārziņa uzņēmējdarbības vietā Savienībā, tādā gadījumā minētā cita uzņēmējdarbības vieta būtu jāuzskata par galveno uzņēmējdarbības vietu. Pārziņa galvenā uzņēmējdarbības vieta Savienībā būtu jānosaka, izmantojot objektīvus kritērijus, un tai būtu jāietver efektīvas un faktiskas pārvaldes darbības, pieņemot galvenos lēmumus par apstrādes nolūkiem un līdzekļiem, ko veic pastāvīga vienība. Minētajam kritērijam nevajadzētu būt atkarīgam no tā, vai personas datu apstrādi veic tajā konkrētajā vietā. Fakts, ka personas datu apstrādei vai apstrādes darbībām nepieciešamie tehniskie līdzekļi un tehnoloģijas ir un tiek izmantotas – pats par sevi nenozīmē, ka šī vieta ir galvenā uzņēmējdarbības vieta, un tādēļ tas nav noteicošs galvenās uzņēmējdarbības vietas kritērijs. Apstrādātāja galvenajai uzņēmējdarbības vietai vajadzētu būt apstrādātāja galvenās pārvaldes atrašanās vietai Savienībā, vai, ja tam nav galvenās pārvaldes Savienībā, – vietai, kur notiek galvenās apstrādes darbības Savienībā. Gadījumos, kad ir iesaistīts gan pārzinis, gan apstrādātājs, kompetentajai vadošajai uzraudzības iestādei būtu jāpaliek tās dalībvalsts uzraudzības iestādei, kurā atrodas pārziņa galvenā uzņēmējdarbības vieta, bet apstrādātāja uzraudzības iestādi būtu jāuzskata par attiecīgo uzraudzības iestādi un minētajai uzraudzības iestādei būtu jāpiedalās šajā regulā paredzētajā sadarbības procedūrā. Jebkurā gadījumā tās dalībvalsts vai to dalībvalstu uzraudzības iestādes, kurās atrodas apstrādātāja viena vai vairākas uzņēmējdarbības vietas, nebūtu jāuzskata par attiecīgajām uzraudzības iestādēm, ja lēmuma projekts attiecas tikai uz pārzini. Ja apstrādi veic uzņēmumu grupa, kontrolējošā uzņēmuma galvenā uzņēmējdarbības vieta būtu jāuzskata par uzņēmumu grupas galveno uzņēmējdarbības vietu, izņemot gadījumos, kad apstrādes nolūkus un līdzekļus nosaka cits uzņēmums. |
| (37) | A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings. | (37) | Uzņēmumu grupai būtu jāietver kontrolējošais uzņēmums un tā kontrolētie uzņēmumi, turklāt par kontrolējošu uzņēmumu būtu jāuzskata uzņēmums, kam var būt dominējoša ietekme uz citu uzņēmumu, piemēram, īpašumtiesību, finanšu līdzdalības vai reglamentējošu noteikumu dēļ, vai pilnvaras panākt personas datu aizsardzības noteikumu īstenošanu. Uzņēmums, kas kontrolē personas datu apstrādi ar to saistītos uzņēmumos, kopā ar minētajiem uzņēmumiem būtu jāuzskata par uzņēmumu grupu. |
| (38) | Children merit specific protection with regard to their personal data, as they may be less aware of the risks, consequences and safeguards concerned and their rights in relation to the processing of personal data. Such specific protection should, in particular, apply to the use of personal data of children for the purposes of marketing or creating personality or user profiles and the collection of personal data with regard to children when using services offered directly to a child. The consent of the holder of parental responsibility should not be necessary in the context of preventive or counselling services offered directly to a child. | (38) | Bērniem pienākas īpaša personas datu aizsardzība, jo viņi var pietiekami neapzināties attiecīgos riskus, sekas un aizsardzības pasākumus un savas tiesības saistībā ar personas datu apstrādi. Šāda īpaša aizsardzība jo īpaši būtu jāpiemēro bērnu personas datu izmantošanai tirgvedības vajadzībām vai tādēļ, lai veidotu personu vai lietotāju profilus, un uz bērnu personas datu vākšanu, kad tiek izmantoti bērnam tiešā veidā piedāvāti pakalpojumi. Saistībā ar preventīviem vai konsultāciju pakalpojumiem, ko tiešā veidā piedāvā bērnam, tādas personas piekrišana, kurai ir vecāku atbildība par bērnu, nebūtu vajadzīga. |
| (39) | Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed. Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing. In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing. | (39) | Jebkurai personas datu apstrādei vajadzētu būt likumīgai un godprātīgai. Fiziskām personām vajadzētu būt pārredzamam tam, ka viņu personas datus vāc, izmanto, aplūko vai citādi apstrādā, un tam, kādā apjomā personas dati tiek vai tiks apstrādāti. Pārredzamības principa pamatā ir prasība, ka visa informācija un saziņa, kas saistīta ar minēto personas datu apstrādi, ir viegli pieejama un viegli saprotama un ka ir jāizmanto skaidra un vienkārša valoda. Minētais princips jo īpaši attiecas uz informāciju datu subjektiem par pārziņa identitāti un apstrādes nolūkiem, kā arī papildu informāciju, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām, un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, kuri viņu personas dati tiek apstrādāti. Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi un to, kā īstenot savas tiesības saistībā ar šādu apstrādi. Proti, konkrētajiem personas datu apstrādes nolūkiem vajadzētu būt nepārprotamiem, leģitīmiem un noteiktiem jau personas datu vākšanas laikā. Personas datiem vajadzētu būt adekvātiem, atbilstīgiem, un tiem būtu jāietver tikai tas, kas nepieciešams tiem nolūkiem, kādos tie tiek apstrādāti. Tādēļ jo īpaši nepieciešams nodrošināt, lai personas datu glabāšanas laikposms tiktu stingri ierobežots līdz minimumam. Personas dati būtu jāapstrādā tikai tad, ja apstrādes nolūku nav iespējams pienācīgi sasniegt citiem līdzekļiem. Lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata. Būtu jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati tiek laboti vai dzēsti. Personas dati būtu jāapstrādā veidā, kas nodrošina personas datu pienācīgu drošību un konfidencialitāti, tostarp nepieļaujot neatļautu piekļuvi personas datiem vai to neatļautu izmantošanu un neatļautu piekļuvi aprīkojumam, kas izmantots apstrādei. |
| (40) | In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract. | (40) | Lai apstrāde būtu likumīga, personas dati būtu jāapstrādā, pamatojoties uz attiecīgā datu subjekta piekrišanu vai kādu citu leģitīmu pamatu, kas noteikts vai nu šajā regulā, vai citā Savienības vai dalībvalsts tiesību aktā, kā minēts šajā regulā, tostarp lai izpildītu uz pārzini attiecināmu juridisku pienākumu vai lai izpildītu līgumu, kurā datu subjekts ir līgumslēdzēja puse, vai lai veiktu pasākumus pēc datu subjekta pieprasījuma pirms līguma noslēgšanas. |
| (41) | Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the ‘Court of Justice’) and the European Court of Human Rights. | (41) | Ja šajā regulā atsaucas uz juridisku pamatu vai leģislatīvu pasākumu, tas obligāti nenozīmē, ka vajadzīgs parlamenta pieņemts leģislatīvs akts, neskarot prasības, kas izriet no attiecīgās dalībvalsts konstitucionālās kārtības. Tomēr šādam juridiskam pamatam vai leģislatīvam pasākumam vajadzētu būt skaidram un precīzam un personām, uz kurām tas attiecas, vajadzētu spēt paredzēt tā piemērošanu saskaņā ar Eiropas Savienības Tiesas (“Tiesa”) un Eiropas Cilvēktiesību tiesas judikatūru. |
| (42) | Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC (10) a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment. | (42) | Ja apstrāde pamatojas uz datu subjekta piekrišanu, pārzinim būtu jāspēj uzskatāmi parādīt, ka datu subjekts ir devis piekrišanu apstrādes darbībai. Jo īpaši saistībā ar rakstisku deklarāciju kādā citā jautājumā aizsardzības pasākumiem būtu jānodrošina, ka datu subjekts apzinās to, ka viņš sniedz piekrišanu un kādā apmērā viņš to dara. Saskaņā ar Padomes Direktīvu 93/13/EEK (10) piekrišanas deklarācija, ko pārzinis ir iepriekš noformulējis, būtu jāsniedz saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, un tajā nevajadzētu būt negodīgiem noteikumiem. Lai piekrišanu būtu apzināta, datu subjektam vajadzētu būt informētam vismaz par pārziņa identitāti un paredzētās personas datu apstrādes nolūkiem. Piekrišana nebūtu uzskatāma par brīvi izteiktu, ja datu subjektam nav īstas vai brīvas izvēles, vai viņš nevar atteikties vai atsaukt savu izvēli bez nelabvēlīgām sekām. |
| (43) | In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance. | (43) | Lai nodrošinātu, ka piekrišana ir sniegta brīvi, piekrišanai nevajadzētu kalpot par derīgu juridisko pamatu personas datu apstrādei konkrētā gadījumā, kad datu subjekta un pārziņa attiecībās pastāv skaidra nevienlīdzība, jo īpaši, ja pārzinis ir publiska iestāde un tāpēc ir maz ticams, ka piekrišana visos minētās konkrētās situācijas apstākļos bija sniegta brīvi. Uzskata, ka piekrišana nav sniegta brīvi, ja tā neparedz atsevišķu piekrišanu dažādām personas datu apstrādes darbībām, neraugoties uz to, ka tas ir atbilstīgi konkrētajā gadījumā, vai ja tiek noteikts, ka no šīs piekrišanas ir atkarīga līguma izpilde, tostarp pakalpojuma sniegšana, neraugoties uz to, ka minētā piekrišana nav noteikti nepieciešama šādai izpildei. |
| (44) | Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract. | (44) | Apstrādei vajadzētu būt likumīgai, ja tas ir nepieciešams saistībā ar līgumu vai nodomu noslēgt līgumu. |
| (45) | Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association. | (45) | Ja apstrādi veic saskaņā ar uz pārzini attiecināmu juridisku pienākumu, vai ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras, apstrādes pamatam vajadzētu būt noteiktam Savienības vai dalībvalsts tiesību aktos. Šajā regulā katrai atsevišķai apstrādei nav prasīts konkrēts tiesību akts. Var pietikt ar tiesību aktu, uz ko balstās vairākas apstrādes darbības, pamatojoties uz juridisku pienākumu, kas pārzinim jāpilda, vai ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras. Arī apstrādes nolūkam vajadzētu būt noteiktam Savienības vai dalībvalstu tiesību aktos. Turklāt minētajā tiesību aktā varētu precizēt vispārējos nosacījumus, kas paredzēti šajā regulā, kura reglamentē personas datu apstrādes likumīgumu, izstrādāt norādes, kā noteikt pārzini, apstrādājamo personas datu veidu, attiecīgos datu subjektus, vienības, kurām personas dati var tikt izpausti, apstrādes nolūka ierobežojumus, glabāšanas laikposmu un citus pasākumus, lai nodrošinātu likumīgu un godprātīgu apstrādi. Tāpat Savienības vai dalībvalstu tiesību aktos būtu jānosaka, vai pārzinim, kurš pilda uzdevumu, ko veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras, vajadzētu būt publiskai iestādei vai citai fiziskai vai juridiskai personai, kas ir publisko tiesību subjekts vai – ja tas ir sabiedrības interesēs, tostarp veselības nolūkos, piemēram, sabiedrības veselība, sociālā aizsardzība un veselības aprūpes pakalpojumu pārvaldība – privāttiesību subjekts, kā, piemēram, profesionāla apvienība. |
| (46) | The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters. | (46) | Personas datu apstrāde būtu jāuzskata par likumīgu arī tad, ja tā nepieciešama, lai aizsargātu intereses, kas ir būtiski svarīgas datu subjekta vai citas fiziskas personas dzīvei. Personas datu apstrādei, pamatojoties uz citas fiziskās personas vitālajām interesēm, principā būtu jānotiek tikai tad, ja apstrādi nevar acīmredzami balstīt uz citu juridisko pamatu. Dažus apstrādes veidus var izmantot, pamatojoties gan uz svarīgām sabiedrības interesēm, gan uz datu subjekta vitālajām interesēm, piemēram, ja apstrāde ir vajadzīga humanitāros nolūkos, tostarp epidēmiju un to izplatīšanās monitoringam vai ārkārtas humanitārajās situācijās, jo īpaši dabas un cilvēka izraisītu katastrofu situācijās. |
| (47) | The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest. | (47) | Pārziņa, tostarp tāda pārziņa, kuram personas dati var tikt izpausti, vai trešās personas leģitīmās intereses var būt apstrādes juridiskais pamats ar noteikumu, ka datu subjekta intereses vai pamattiesības un pamatbrīvības nav svarīgākas, ņemot vērā saprātīgas datu subjektu gaidas, kuru pamatā ir viņu attiecības ar pārzini. Šādas leģitīmas intereses varētu būt, piemēram, tad, ja starp datu subjektu un pārzini pastāv būtiskas un atbilstošas attiecības, piemēram, ja datu subjekts ir pārziņa klients vai ir pārziņa dienestā. Jebkurā gadījumā būtu rūpīgi jāizvērtē, vai pastāv leģitīmas intereses, tostarp, vai datu subjekts personas datu vākšanas laikā un saistībā ar to var pamatoti sagaidīt, ka var notikt minētajā nolūkā paredzēta apstrāde. Datu subjekta intereses un pamattiesības varētu būt svarīgākas par datu pārziņa interesēm, ja personas datus apstrādā apstākļos, kādos datu subjektiem nav pamatotu gaidu, ka apstrāde turpināsies. Ņemot vērā, ka personas datu apstrādes juridiskais pamats publiskām iestādēm ar likumu ir jānosaka likumdevējam, minētais juridiskais pamats nebūtu jāpiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus. Personas datu apstrāde tikai tādā apjomā, kas vajadzīgs, lai novērstu krāpšanu, arī ir attiecīgā datu pārziņa leģitīmās interesēs. Var uzskatīt, ka personas datu apstrāde tiešās tirgvedības vajadzībām ir veikta leģitīmās interesēs. |
| (48) | Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected. | (48) | Pārziņiem, kas ir uzņēmumu grupas daļa vai kādai centrālai struktūrai radniecīgas iestādes, var būt leģitīmas intereses personas datus nosūtīšanā citiem grupas uzņēmumiem iekšējos administratīvos nolūkos, tostarp klientu vai darba ņēmēju personas datu apstrādei. Neskarti saglabājas vispārējie principi par uzņēmumu grupas iekšienē veiktu personas datu nosūtīšanu kādam uzņēmumam, kas atrodas trešā valstī. |
| (49) | The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems. | (49) | Attiecīgā datu pārziņa leģitīmas intereses rada personas datu apstrāde, kuru veic publiskas iestādes, Datorapdraudējumu reaģēšanas vienības (CERT), Datordrošības incidentu reaģēšanas vienības (CSIRT), elektronisko sakaru tīklu un pakalpojumu sniedzēji un drošības tehnoloģiju un pakalpojumu sniedzēji, tādā apjomā, kas ir noteikti vajadzīgs un samērīgs, lai nodrošinātu tīkla un informācijas drošību, t. i., tīkla vai informācijas sistēmu spēju zināmā uzticamības līmenī pretoties nejaušiem gadījumiem vai nelikumīgām vai ļaunprātīgām darbībām, kas apdraudētu uzglabāto un nosūtīto personas datu pieejamību, autentiskumu, integritāti un konfidencialitāti, kā arī saistīto pakalpojumu drošību, kurus piedāvā minētie tīkli un sistēmas vai kuri ir pieejami, izmantojot minētos tīklus un sistēmas. Tas varētu, piemēram, palīdzēt novērst neatļautu piekļuvi elektroniskajiem sakaru tīkliem un ļaunprātīgu kodu izplatīšanu, kā arī apturēt pakalpojumatteices uzbrukumus un novērst datoru un elektronisko komunikāciju sistēmu bojājumus. |
| (50) | The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations. | Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy. | (50) | Personas datu apstrāde nolūkos, kas nav tie, kādos personas dati sākotnēji tika vākti, būtu jāatļauj tikai tad, ja apstrāde ir saderīga ar tiem nolūkiem, kādos personas dati sākotnēji tika vākti. Šādā gadījumā nav vajadzīgs atsevišķs juridiskais pamats kā vien tas, ar ko tika atļauta personas datu vākšana. Ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras, Savienības vai dalībvalsts tiesību aktos var būt noteikti un precizēti uzdevumi un nolūki, kādos turpmākā apstrāde būtu jāuzskata par saderīgu un likumīgu. Turpmākā apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos būtu jāuzskata par saderīgām likumīgām apstrādes darbībām. Personas datu apstrādes juridiskais pamats, ko paredz Savienības vai dalībvalsts tiesību akti, var arī paredzēt juridisko pamatu turpmākai apstrādei. Lai pārliecinātos, vai turpmākas apstrādes nolūks ir saderīgs ar nolūku, kādā personas dati sākotnēji tika vākti, pārzinim – pēc tam, kad ir izpildītas visas prasības attiecībā uz sākotnējās apstrādes likumīgumu, – būtu cita starpā jāņem vērā: jebkura saikne starp minētajiem nolūkiem un paredzētās turpmākās apstrādes nolūkiem; konteksts, kādā personas dati ir vākti, jo īpaši saprātīgas datu subjektu gaidas, kuru pamatā ir to attiecības ar pārzini, attiecībā uz datu turpmāku izmantošanu; personas datu raksturs; sekas, ko paredzētā turpmākā apstrāde rada datu subjektiem; un atbilstošu garantiju esamība gan sākotnējās, gan paredzētajās turpmākās apstrādes darbībās. | Ja datu subjekts ir devis piekrišanu vai ja apstrāde balstās uz Savienības vai dalībvalsts tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai jo īpaši aizsargātu svarīgus vispārējo sabiedrības interešu mērķus, būtu jāļauj pārzinim turpināt personas datu apstrādi neatkarīgi no saderības ar nolūkiem. Jebkurā gadījumā būtu jānodrošina, lai tiktu piemēroti šajā regulā noteiktie principi un jo īpaši lai datu subjekts tiktu informēts par minētajiem citiem apstrādes nolūkiem un par savām tiesībām, tostarp par tiesībām iebilst. Būtu jāuzskata, ka pārziņa leģitīmajās interesēs ir tas, ka pārzinis norāda uz iespējamām noziedzīgām darbībām vai uz draudiem sabiedriskajai drošībai un atsevišķos gadījumos vai vairākos gadījumos, kas saistīti ar vienu un to pašu noziedzīgo darbību vai vieniem un tiem pašiem draudiem sabiedriskajai drošībai, nosūta attiecīgos personas datus kompetentai iestādei. Tomēr šāda nosūtīšana pārziņa leģitīmajās interesēs vai turpmāka personas datu apstrāde būtu jāaizliedz, ja apstrāde nav saderīga ar juridisku, profesionālu vai citu saistošu pienākumu ievērot dienesta noslēpumus. |
| (51) | Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms. | (51) | Personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un brīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un brīvībām. Minētajiem personas datiem būtu jāaptver personas dati, kuri atklāj rases vai etnisko piederību, turklāt termina “rases piederība” izmatošana šajā regulā nenozīmē, ka Savienība atzīst teorijas, ar kuru palīdzību notiek mēģinājumi noteikt dažādu cilvēku rasu pastāvēšanu. Fotogrāfiju apstrāde nebūtu sistemātiski jāuzskata par īpašu kategoriju personas datu apstrādi, jo uz tām biometrisko datu definīcija attiecas tikai tad, kad tās apstrādās ar konkrētiem tehniskiem līdzekļiem, kas ļauj veikt fiziskas personas unikālu identifikāciju vai autentifikāciju. Šādi personas dati nebūtu jāapstrādā, ja vien apstrāde nav atļauta konkrētos, šajā regulā precizētos gadījumos, ņemot vērā, ka dalībvalstu tiesību aktos var būt paredzēti konkrēti noteikumi par datu aizsardzību, lai pieņemtu šīs regulas noteikumu piemērošanu juridisku pienākumu izpildei vai sabiedrības interesēs veiktu uzdevumu izpildei, vai pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanai. Papildus konkrētajām prasībām attiecībā uz šādu apstrādi būtu jāpiemēro vispārējie principi un citi šīs regulas noteikumi, jo īpaši attiecībā uz likumīgas apstrādes nosacījumiem. Būtu skaidri jāparedz atkāpes no vispārējā aizlieguma apstrādāt šādu īpašu kategoriju personas datus, cita starpā tad, ja datu subjekts dot nepārprotamu piekrišanu, vai attiecībā uz īpašām vajadzībām, jo īpaši gadījumos, kad apstrādi veic konkrētas apvienības vai nodibinājumi savu leģitīmo darbību ietvaros, kuru nolūks ir atļaut īstenot pamatbrīvības. |
| (52) | Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure. | (52) | Atkāpties no aizlieguma apstrādāt īpašu kategoriju personas datus būtu jāatļauj arī tad, ja tas paredzēts Savienības vai dalībvalsts tiesību aktos un ja ir paredzētas atbilstošas garantijas personas datu un citu pamattiesību aizsardzībai, ja to darīt ir sabiedrības interesēs, jo īpaši personas datu apstrāde nodarbinātības tiesību aktu, sociālās aizsardzības tiesību aktu jomā, tostarp attiecībā uz pensijām un veselības drošības, uzraudzības un brīdināšanas nolūkos, lipīgu infekcijas slimību un citu nopietnu veselības apdraudējumu profilaksei vai kontrolei. Šādu atkāpi var veikt ar veselību saistītos nolūkos, tostarp sabiedrības veselības un veselības aprūpes pakalpojumu pārvaldības nolūkos, jo īpaši, lai nodrošinātu pabalstu un veselības apdrošināšanas sistēmas pakalpojumu pieprasīšanai izmantoto procedūru kvalitāti un izmaksu lietderību vai lai veiktu arhivēšanu sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos. Atkāpei būtu jāpieļauj arī tādu personas datu apstrāde, kas vajadzīgi, lai celtu, īstenotu vai aizstāvētu likumīgas prasības vai nu tiesas procesā, vai administratīvā vai ārpustiesas procedūrā. |
| (53) | Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data. | (53) | Īpašu kategoriju personas datus, kuriem pienākas augstāka aizsardzība, būtu jāapstrādā ar veselību saistītos nolūkos tikai tad, ja minētie nolūki jāsasniedz fizisku personu un visas sabiedrības labā, jo īpaši saistībā ar veselības vai sociālās aprūpes pakalpojumu un sistēmu pārvaldību, tostarp šādu datu apstrādi, ko kvalitātes kontroles nolūkos veic pārvaldības un centrālās valsts veselības iestādes, informāciju par pārvaldību un veselības vai sociālās aprūpes sistēmas vispārēju valsts mēroga un vietēju pārraudzību, un lai nodrošinātu veselības vai sociālās aprūpes un pārrobežu veselības aprūpes nepārtrauktību vai veselības drošību, pārraudzības vai brīdināšanas nolūkos vai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kam jāatbilst sabiedrības interešu mērķim, kā arī pētījumiem, kurus sabiedrības veselības jomā veic sabiedrības interesēs. Tāpēc šai regulai būtu jānodrošina saskaņoti nosacījumi īpašu kategoriju personas veselības datu apstrādei attiecībā uz konkrētām vajadzībām, jo īpaši gadījumos, kad šādu datu apstrādi konkrētos ar veselību saistītos nolūkos veic personas, uz kurām attiecas juridiskais pienākums ievērot dienesta noslēpumu. Savienības vai dalībvalsts tiesību aktiem būtu jāparedz konkrēti un atbilstoši pasākumi, lai aizsargātu fizisku personu pamattiesības un personas datus. Būtu jāļauj dalībvalstīm saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi. Tomēr tam nevajadzētu kavēt personas datu brīvo plūsmu Savienībā gadījumos, kad minētos nosacījumus piemēro šādu datu pārrobežu apstrādei. |
| (54) | The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council (11), namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies. | (54) | Īpašu kategoriju personas datu apstrāde bez datu subjekta piekrišanas var būt nepieciešama sabiedrības interešu dēļ sabiedrības veselības jomās. Uz šādu apstrādi būtu jāattiecas atbilstošiem un konkrētiem pasākumiem fizisku personu tiesību un brīvību aizsardzībai. Minētajā kontekstā “sabiedrības veselība” būtu jāinterpretē saskaņā ar definīciju Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1338/2008 (11), proti, kā visi elementi, kas saistīti ar veselību, proti, veselības stāvoklis, tostarp saslimstība un invaliditāte, faktori, kas ietekmē veselības stāvokli, veselības aprūpes vajadzības, veselības aprūpei piešķirtie resursi, veselības aprūpes nodrošināšana un vispārēja piekļuve tai, kā arī veselības aprūpes izdevumi un finansējums, un nāves cēloņi. Šādai veselības datu apstrādei sabiedrības interešu vārdā nebūtu jānoved pie tā, ka trešās personas, piemēram, darba devēji vai apdrošināšanas sabiedrības un kredītiestādes, apstrādā personas datus citos nolūkos. |
| (55) | Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest. | (55) | Turklāt oficiālo iestāžu veiktā oficiāli atzītu reliģisku apvienību personu datu apstrāde, lai sasniegtu konstitucionālajās tiesībās vai starptautiskajās publiskajās tiesībās paredzētus mērķus, tiek veikta, pamatojoties uz sabiedrības interesēm. |
| (56) | Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established. | (56) | Ja dalībvalstī vēlēšanu pasākumu laikā demokrātiskās sistēmas darbība prasa, lai politiskās partijas vāktu personas datus par cilvēku politiskajiem uzskatiem, šādu datu apstrādi var pieļaut sabiedrības interešu dēļ, ar noteikumu, ka ir noteikti atbilstoši aizsardzības pasākumi. |
| (57) | If the personal data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. However, the controller should not refuse to take additional information provided by the data subject in order to support the exercise of his or her rights. Identification should include the digital identification of a data subject, for example through authentication mechanism such as the same credentials, used by the data subject to log-in to the on-line service offered by the data controller. | (57) | Ja pārziņa apstrādātie personas dati neļauj pārzinim identificēt fizisku personu, datu pārzinim nebūtu jāuzliek pienākums iegūt papildu informāciju, lai identificētu datu subjektu, ja ieguves vienīgais nolūks ir kāda šīs regulas noteikuma ievērošana. Tomēr pārzinim nebūtu jāatsakās pieņemt papildu informāciju, ko sniedz datu subjekts, lai pamatotu savu tiesību īstenošanu. Identifikācijai būtu jāietver datu subjekta digitāla identifikācija, piemēram, izmantojot autentifikācijas mehānismu, kurā lieto tos pašus akreditācijas datus, kurus datu subjekts izmanto, lai pieteiktos datu pārziņa piedāvātajiem tiešsaistes pakalpojumiem. |
| (58) | The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand. | (58) | Pārredzamības principa pamatā ir prasība, ka visa informācija, kas adresēta sabiedrībai vai datu subjektam, ir kodolīga, viegli pieejama un viegli saprotama un ka tiek izmantota skaidra un vienkārša valoda un papildus – vajadzības gadījumā – vizualizācija. Šādu informāciju var sniegt elektroniski, piemēram, darot to pieejamu sabiedrībai tīmekļa vietnē. Tas ir jo īpaši svarīgi situācijās, kad iesaistīto personu skaits un praksē izmantoto tehnoloģiju sarežģītība apgrūtina datu subjekta iespējas zināt un saprast, vai tiek vākti viņa personas dati, kas to dara un kādā nolūkā – kā piemēram, tiešsaistes reklāmas gadījumā. Ņemot vērā, ka bērniem pienākas īpaša aizsardzība, ja apstrāde attiecas uz bērnu, informācija būtu jāsniedz un saziņa jāveic tik skaidrā un vienkāršā valodā, lai bērns to varētu viegli saprast. |
| (59) | Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests. | (59) | Būtu jāparedz kārtība, kas datu subjektam atvieglotu savu tiesību īstenošanu saskaņā ar šo regulu, tostarp mehānismi, kā pieprasīt un, ja piemērojams, bez maksas saņemt jo īpaši piekļuvi personas datiem un to labošanu vai dzēšanu un īstenot tiesības iebilst. Pārzinim būtu jānodrošina arī līdzekļi, ar kuriem pieprasījumus var izdarīt elektroniski, īpaši gadījumos, kad personas datus apstrādā, izmantojot elektroniskus līdzekļus. Pārzinim būtu jāuzliek pienākums atbildēt uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un vēlākais viena mēneša laikā un minēt iemeslus, ja pārzinis neplāno izpildīt nevienu šādu pieprasījumu. |
| (60) | The principles of fair and transparent processing require that the data subject be informed of the existence of the processing operation and its purposes. The controller should provide the data subject with any further information necessary to ensure fair and transparent processing taking into account the specific circumstances and context in which the personal data are processed. Furthermore, the data subject should be informed of the existence of profiling and the consequences of such profiling. Where the personal data are collected from the data subject, the data subject should also be informed whether he or she is obliged to provide the personal data and of the consequences, where he or she does not provide such data. That information may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner, a meaningful overview of the intended processing. Where the icons are presented electronically, they should be machine-readable. | (60) | Godprātīgas un pārredzamas apstrādes principi prasa to, ka datu subjekts ir informēts par apstrādes darbības esamību un tās nolūkiem. Pārzinim būtu jāsniedz datu subjektam jebkāda papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi, ņemot vērā konkrētos apstākļus un kontekstu, kādā personas dati tiek apstrādāti. Turklāt datu subjektam vajadzētu būt informētam par profilēšanu un šādas profilēšanas sekām. Ja personas datus vāc no datu subjekta, datu subjekts būtu jāinformē arī par to, vai viņam ir pienākums sniegt personas datus un kādas būs sekas, ja viņš šādus datus nesniegs. Minēto informāciju var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tām vajadzētu būt mašīnlasāmām. |
| (61) | The information in relation to the processing of personal data relating to the data subject should be given to him or her at the time of collection from the data subject, or, where the personal data are obtained from another source, within a reasonable period, depending on the circumstances of the case. Where personal data can be legitimately disclosed to another recipient, the data subject should be informed when the personal data are first disclosed to the recipient. Where the controller intends to process the personal data for a purpose other than that for which they were collected, the controller should provide the data subject prior to that further processing with information on that other purpose and other necessary information. Where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided. | (61) | Informācija par datu subjekta personas datu apstrādi būtu tam jāsniedz datu ieguves no datu subjekta brīdī vai – ja personas datus iegūst no cita avota– saprātīgā termiņā atkarībā no lietas apstākļiem. Ja personas datus var leģitīmi izpaust citam saņēmējam, datu subjekts būtu jāinformē, kad personas dati tiek izpausti saņēmējam pirmo reizi. Ja pārzinis paredz personas datus apstrādāt citā nolūkā, kas nav nolūks, kādā tie tika vākti, pārzinim pirms minētās turpmākās apstrādes būtu jāinformē datu subjekts par minēto citu nolūku un jāsniedz tam cita vajadzīgā informācija. Ja datu subjektam nevar norādīt personas datu avotu tā iemesla dēļ, ka ir izmantoti dažādi avoti, būtu jāsniedz vispārīga informācija. |
| (62) | However, it is not necessary to impose the obligation to provide information where the data subject already possesses the information, where the recording or disclosure of the personal data is expressly laid down by law or where the provision of information to the data subject proves to be impossible or would involve a disproportionate effort. The latter could in particular be the case where processing is carried out for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. In that regard, the number of data subjects, the age of the data and any appropriate safeguards adopted should be taken into consideration. | (62) | Tomēr pienākumu sniegt informāciju nav vajadzīgs noteikt gadījumos, ja informācija jau ir datu subjekta rīcībā, ja personas datu reģistrācija vai izpaušana ir skaidri paredzēta likumā, vai ja informācijas sniegšana datu subjektam izrādās neiespējama vai prasītu nesamērīgi lielas pūles. Pēdējais minētais varētu jo īpaši būt gadījums, kad apstrāde tiek veikta arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos. Minētajā sakarā būtu jāņem vērā datu subjektu skaits, datu vecums un jebkādas pieņemtās atbilstošās garantijas. |
| (63) | A data subject should have the right of access to personal data which have been collected concerning him or her, and to exercise that right easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing. This includes the right for data subjects to have access to data concerning their health, for example the data in their medical records containing information such as diagnoses, examination results, assessments by treating physicians and any treatment or interventions provided. Every data subject should therefore have the right to know and obtain communication in particular with regard to the purposes for which the personal data are processed, where possible the period for which the personal data are processed, the recipients of the personal data, the logic involved in any automatic personal data processing and, at least when based on profiling, the consequences of such processing. Where possible, the controller should be able to provide remote access to a secure system which would provide the data subject with direct access to his or her personal data. That right should not adversely affect the rights or freedoms of others, including trade secrets or intellectual property and in particular the copyright protecting the software. However, the result of those considerations should not be a refusal to provide all information to the data subject. Where the controller processes a large quantity of information concerning the data subject, the controller should be able to request that, before the information is delivered, the data subject specify the information or processing activities to which the request relates. | (63) | Datu subjektam vajadzētu būt tiesībām piekļūt personas datiem, kas par to savākti, un viegli un saprātīgos intervālos īstenot minētās tiesības, lai zinātu par apstrādi un pārliecinātos par tās likumīgumu. Tas ietver arī datu subjektu tiesības piekļūt saviem veselības datiem, piemēram, datiem par slimības vēsturi, kas ietver tādu informāciju kā diagnozes, analīžu rezultāti, ārstējošā terapeita vērtējums un ārstēšanas vai medicīniskās iejaukšanās pasākumi. Tāpēc katram datu subjektam vajadzētu būt tiesībām zināt un saņemt paziņojumu jo īpaši par to, kādos nolūkos personas datus apstrādā, ja iespējams, cik ilgi personas dati tiek apstrādāti, personas datu saņēmējus, kāda ir jebkurā personas datu automātiskajā apstrādē ietvertā loģika un kādas ir šādas apstrādes sekas – vismaz tad, ja apstrāde pamatojas uz profilēšanu. Ja iespējams, pārzinim būtu jāspēj nodrošināt attālināta piekļuve drošai sistēmai, kas datu subjektam sniegtu tiešu piekļuvi saviem personas datiem. Minētajām tiesībām nevajadzētu nelabvēlīgi ietekmēt citu personu tiesības vai brīvības, tostarp tirdzniecības noslēpumus vai intelektuālā īpašuma tiesības un jo īpaši autortiesības, ar ko aizsargāta programmatūra. Tomēr minēto apsvērumu rezultātam nevajadzētu būt tādam, ka datu subjektam tiek atteikts sniegt jebkādu informāciju. Ja pārzinis apstrādā lielu informācijas apjomu saistībā ar datu subjektu, pārzinim būtu jāspēj pieprasīt, lai datu subjekts pirms informācijas nosūtīšanas precizētu, uz kuru informāciju un kurām apstrādes darbībām pieprasījums attiecas. |
| (64) | The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests. | (64) | Pārzinim būtu jāizmanto visi saprātīgi pasākumi, lai pārbaudītu datu subjekta, kas izdara pieprasījumu, identitāti, jo īpaši saistībā ar tiešsaistes pakalpojumiem un tiešsaistes identifikatoriem. Pārzinim nebūtu jāglabā personas dati, ja vienīgais šādas glabāšanas nolūks ir būt spējīgam reaģēt uz iespējamiem pieprasījumiem. |
| (65) | A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims. | (65) | Datu subjektam vajadzētu būt tiesībām uz savu personas datu labošanu un “tiesībām tikt aizmirstam”, ja šādu datu glabāšana pārkāpj šo regulu vai Savienības vai dalībvalsts tiesību aktus, kas ir piemērojami pārzinim. Jo īpaši datu subjektam vajadzētu būt tiesībām uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti vai citādi apstrādāti, ja datu subjekts ir atsaucis savu piekrišanu apstrādei vai iebilst pret savu personas datu apstrādi, vai ja viņu personas datu apstrāde citā veidā neatbilst šai regulai. Minētās tiesības ir īpaši svarīgas, ja datu subjekts ir devis savu piekrišanu kā bērns, pilnībā neapzinoties ar apstrādi saistītos riskus, un vēlāk vēlas izņemt šādus personas datus, jo īpaši no interneta. Datu subjektam būtu jāvar īstenot minētās tiesības, neraugoties uz to, ka viņš vairs nav bērns. Tomēr personas datu turpmākai saglabāšanai vajadzētu būt likumīgai, ja tas ir nepieciešams, lai īstenotu tiesības uz vārda brīvību un informāciju, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā, arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības. |
| (66) | To strengthen the right to be forgotten in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform the controllers which are processing such personal data to erase any links to, or copies or replications of those personal data. In doing so, that controller should take reasonable steps, taking into account available technology and the means available to the controller, including technical measures, to inform the controllers which are processing the personal data of the data subject's request. | (66) | Lai stiprinātu tiesības tikt aizmirstam tiešsaistes vidē, arī tiesības uz dzēšanu būtu jāpaplašina tā, lai pārzinim, kas ir publiskojis personas datus, būtu pienākums informēt pārziņus, kuri apstrādā šādus personas datus, par to, ka ir jādzēš visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumi. To darot, pārzinim būtu jāveic saprātīgi pasākumi, ņemot vērā pieejamo tehnoloģiju un pārziņa rīcībā esošos līdzekļus, tostarp tehniskie pasākumi, ar ko pārziņus, kuri apstrādā personas datus, informē par datu subjekta pieprasījumu. |
| (67) | Methods by which to restrict the processing of personal data could include, inter alia, temporarily moving the selected data to another processing system, making the selected personal data unavailable to users, or temporarily removing published data from a website. In automated filing systems, the restriction of processing should in principle be ensured by technical means in such a manner that the personal data are not subject to further processing operations and cannot be changed. The fact that the processing of personal data is restricted should be clearly indicated in the system. | (67) | Metodes, ar kurām ierobežot personas datu apstrādi, cita starpā varētu ietvert izvēlēto datu pārvietošanu uz citu apstrādes sistēmu, izvēlēto personas datu pieejamības liegumu lietotājiem, vai publicēto datu pagaidu izņemšanu no tīmekļa vietnes. Automatizētajās reģistrācijas sistēmās apstrādes ierobežošana principā būtu jānodrošina ar tehniskiem līdzekļiem tādā veidā, lai personas dati netiktu pakļauti turpmākām apstrādes darbībām un lai tos nevarētu izmainīt. Tas, ka personas datu apstrāde ir ierobežota, būtu skaidri jānorāda sistēmā. |
| (68) | To further strengthen the control over his or her own data, where the processing of personal data is carried out by automated means, the data subject should also be allowed to receive personal data concerning him or her which he or she has provided to a controller in a structured, commonly used, machine-readable and interoperable format, and to transmit it to another controller. Data controllers should be encouraged to develop interoperable formats that enable data portability. That right should apply where the data subject provided the personal data on the basis of his or her consent or the processing is necessary for the performance of a contract. It should not apply where processing is based on a legal ground other than consent or contract. By its very nature, that right should not be exercised against controllers processing personal data in the exercise of their public duties. It should therefore not apply where the processing of the personal data is necessary for compliance with a legal obligation to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of an official authority vested in the controller. The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible. Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation. Furthermore, that right should not prejudice the right of the data subject to obtain the erasure of personal data and the limitations of that right as set out in this Regulation and should, in particular, not imply the erasure of personal data concerning the data subject which have been provided by him or her for the performance of a contract to the extent that and for as long as the personal data are necessary for the performance of that contract. Where technically feasible, the data subject should have the right to have the personal data transmitted directly from one controller to another. | (68) | Lai datu subjektiem būtu vēl lielāka kontrole pār saviem datiem, ja personas datu apstrādi veic ar automatizētiem līdzekļiem, datu subjektam būtu arī jāļauj saņemt personas datus par sevi, kurus tas sniedzis pārzinim, strukturētā, plaši izmantotā, mašīnlasāmā un savstarpēji izmantojamā formātā un nosūtīt tos citam pārzinim. Datu pārziņi būtu jāmudina izstrādāt savstarpēji izmantojamus formātus, kas nodrošina datu pārnešanu. Minētās tiesības būtu jāpiemēro, ja datu subjekts personas datus ir sniedzis ar savu piekrišanu vai ja apstrāde ir nepieciešama, lai izpildītu līgumu. Tās nebūtu jāpiemēro, ja apstrādei ir tāds juridiskais pamats, kas nav piekrišana vai līgums. Minētās tiesības pēc būtības nebūtu jāīsteno pret pārziņiem, kas personas datus apstrādā, pildot savus sabiedriskos pienākumus. Tādēļ tās jo īpaši nebūtu jāpiemēro gadījumos, kad personas datu apstrāde ir vajadzīga, lai izpildītu juridisku pienākumu, kas pārzinim jāpilda, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras. Datu subjekta tiesībām nosūtīt vai saņemt personas datus par sevi nebūtu jārada pārziņiem pienākums ieviest vai uzturēt apstrādes sistēmas, kas ir tehniski saderīgas. Ja konkrēts personas datu kopums attiecas uz vairākiem datu subjektiem, tad tiesībām saņemt personas datus nebūtu jāskar citu datu subjektu tiesības un brīvības saskaņā ar šo regulu. Turklāt minētajām tiesībām nebūtu jāskar arī datu subjekta tiesības panākt personas datu dzēšanu un minēto tiesību ierobežojumus, kā izklāstīts šajā regulā, un tām jo īpaši nevajadzētu nozīmēt to, ka tiek dzēsti datu subjekta personas dati, kurus tas sniedzis līguma izpildes nolūkā, ciktāl un kamēr personas dati ir vajadzīgi minētā līguma izpildei. Ja tas ir tehniski iespējams, datu subjektam vajadzētu būt tiesībām panākt, lai personas dati tiktu nosūtīti tieši no viena pārziņa citam pārzinim. |
| (69) | Where personal data might lawfully be processed because processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, or on grounds of the legitimate interests of a controller or a third party, a data subject should, nevertheless, be entitled to object to the processing of any personal data relating to his or her particular situation. It should be for the controller to demonstrate that its compelling legitimate interest overrides the interests or the fundamental rights and freedoms of the data subject. | (69) | Ja personas datus var likumīgi apstrādāt tāpēc, ka apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, vai arī pamatojoties uz pārziņa vai trešās personas leģitīmajām interesēm, datu subjektam tomēr vajadzētu būt tiesībām iebilst pret to, ka tiek apstrādāti personas dati, kas attiecas uz viņa konkrēto situāciju. Pārzinim būtu jāpierāda, ka viņa pārliecinošās leģitīmās intereses ir svarīgākas par datu subjekta pamattiesībām un brīvībām. |
| (70) | Where personal data are processed for the purposes of direct marketing, the data subject should have the right to object to such processing, including profiling to the extent that it is related to such direct marketing, whether with regard to initial or further processing, at any time and free of charge. That right should be explicitly brought to the attention of the data subject and presented clearly and separately from any other information. | (70) | Ja personas datus apstrādā tiešās tirgvedības nolūkos, datu subjektam vajadzētu būt tiesībām jebkurā laikā un bez maksas iebilst pret šādu apstrādi, tostarp profilēšanu, ciktāl tā saistīta ar šādu tiešo tirgvedību, neatkarīgi no tā, vai tā ir sākotnējā vai turpmākā apstrāde. Datu subjektu būtu nepārprotami jāinformē par minētajām tiesībām un to dara tā, lai šī informācija būtu skaidra un lai to varētu atšķirt no jebkuras citas informācijas. |
| (71) | The data subject should have the right not to be subject to a decision, which may include a measure, evaluating personal aspects relating to him or her which is based solely on automated processing and which produces legal effects concerning him or her or similarly significantly affects him or her, such as automatic refusal of an online credit application or e-recruiting practices without any human intervention. Such processing includes ‘profiling’ that consists of any form of automated processing of personal data evaluating the personal aspects relating to a natural person, in particular to analyse or predict aspects concerning the data subject's performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, where it produces legal effects concerning him or her or similarly significantly affects him or her. However, decision-making based on such processing, including profiling, should be allowed where expressly authorised by Union or Member State law to which the controller is subject, including for fraud and tax-evasion monitoring and prevention purposes conducted in accordance with the regulations, standards and recommendations of Union institutions or national oversight bodies and to ensure the security and reliability of a service provided by the controller, or necessary for the entering or performance of a contract between the data subject and a controller, or when the data subject has given his or her explicit consent. In any case, such processing should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Such measure should not concern a child. | In order to ensure fair and transparent processing in respect of the data subject, taking into account the specific circumstances and context in which the personal data are processed, the controller should use appropriate mathematical or statistical procedures for the profiling, implement technical and organisational measures appropriate to ensure, in particular, that factors which result in inaccuracies in personal data are corrected and the risk of errors is minimised, secure personal data in a manner that takes account of the potential risks involved for the interests and rights of the data subject and that prevents, inter alia, discriminatory effects on natural persons on the basis of racial or ethnic origin, political opinion, religion or beliefs, trade union membership, genetic or health status or sexual orientation, or that result in measures having such an effect. Automated decision-making and profiling based on special categories of personal data should be allowed only under specific conditions. | (71) | Datu subjektam vajadzētu būt tiesībām nebūt tāda lēmuma subjektam, kurā var būt ietverts pasākums, ar ko izvērtē ar viņu saistītus personiskus aspektus, un kura pamatā ir tikai automatizēta apstrāde un kurai ir juridiskas sekas attiecībā uz datu subjektu vai kura līdzīgā veidā ievērojami ietekmē datu subjektu – piemēram, tiešsaistē iesniegta kredītpieteikuma automātisks noraidījums vai elektroniska darbā pieņemšanas prakse bez cilvēka līdzdalības. Šāda apstrāde ietver “profilēšanu”, kas izpaužas kā jebkura veida automatizēta personas datu apstrāde, kurā izvērtē ar fizisku personu saistītus personiskus aspektus, jo īpaši, lai analizētu vai prognozētu aspektus saistībā ar datu subjekta sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, ja šādai apstrādei ir juridiskas sekas attiecībā uz fizisko personu vai tā līdzīgā veidā viņu ievērojami ietekmē. Tomēr lēmumu pieņemšana, pamatojoties uz šādu apstrādi, tostarp profilēšanu, būtu jāatļauj, ja tā ir nepārprotami atļauta saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri ir piemērojami pārzinim, tostarp krāpšanas nodokļu jomā un nodokļu nemaksāšanas uzraudzībai un novēršanai, ko veic saskaņā ar Savienības iestāžu vai valsts uzraudzības iestāžu noteikumiem, standartiem un ieteikumiem, un lai nodrošinātu pārziņa sniegtā pakalpojuma drošību un uzticamību, vai ja šāda apstrāde ir vajadzīga, lai noslēgtu vai izpildītu līgumu starp datu subjektu un pārzini, vai ja datu subjekts ir nepārprotami piekritis šādai apstrādei. Jebkurā gadījumā uz šādu apstrādi būtu jāattiecina atbilstošas garantijas, kurām būtu jāaptver konkrētas informācijas sniegšana datu subjektam un tiesības panākt cilvēka līdzdalību, tiesības paust savu viedokli, saņemt paskaidrojumu par lēmumu, kas pieņemts pēc šādas izvērtēšanas, un apstrīdēt lēmumu. Šāds pasākums nebūtu jāattiecina uz bērnu. | Lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu, ņemot vērā konkrētos apstākļus un kontekstu, kurā personas dati tiek apstrādāti, pārzinim būtu jāizmanto piemērotas matemātiskās vai statistikas procedūras profilēšanai, jāveic atbilstīgi tehniski un organizatoriski pasākumi, lai jo īpaši nodrošinātu, ka tiek koriģēti faktori, kuru dēļ rodas personas datu neprecizitātes, un ka līdz minimumam ir samazināts kļūdu rašanās risks, jāgarantē personas datu drošība tādā veidā, lai ņemtu vērā iespējamos riskus attiecībā uz datu subjekta interesēm un tiesībām un lai cita starpā novērstu fizisku personu diskrimināciju dēļ rases vai etniskās izcelsmes, politiskajiem uzskatiem, reliģiskās vai ticības piederības, dalības arodbiedrībā, ģenētiskā vai veselības stāvokļa vai dzimumorientācijas, vai izrietošus pasākumus, kas izraisa šādu diskrimināciju. Automatizēta lēmumu pieņemšana un profilēšana, pamatojoties uz īpašām personas datu kategorijām, būtu jāatļauj tikai saskaņā ar konkrētiem nosacījumiem. |
| (72) | Profiling is subject to the rules of this Regulation governing the processing of personal data, such as the legal grounds for processing or data protection principles. The European Data Protection Board established by this Regulation (the ‘Board’) should be able to issue guidance in that context. | (72) | Profilēšanai piemēro šīs regulas noteikumus, ar ko reglamentē personas datu apstrādi, piemēram, apstrādes juridisko pamatu vai datu aizsardzības principus. Eiropas Datu aizsardzības kolēģijai, kas izveidota ar šo regulu (“kolēģija”), būtu jāspēj sniegt norādes minētajā sakarībā. |
| (73) | Restrictions concerning specific principles and the rights of information, access to and rectification or erasure of personal data, the right to data portability, the right to object, decisions based on profiling, as well as the communication of a personal data breach to a data subject and certain related obligations of the controllers may be imposed by Union or Member State law, as far as necessary and proportionate in a democratic society to safeguard public security, including the protection of human life especially in response to natural or manmade disasters, the prevention, investigation and prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, or of breaches of ethics for regulated professions, other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, the keeping of public registers kept for reasons of general public interest, further processing of archived personal data to provide specific information related to the political behaviour under former totalitarian state regimes or the protection of the data subject or the rights and freedoms of others, including social protection, public health and humanitarian purposes. Those restrictions should be in accordance with the requirements set out in the Charter and in the European Convention for the Protection of Human Rights and Fundamental Freedoms. | (73) | Ar Savienības vai dalībvalsts tiesību aktiem var piemērot ierobežojumus attiecībā uz konkrētiem principiem un tiesībām uz informāciju, piekļuvi personas datiem, to labošanu vai dzēšanu, tiesībām uz datu pārnešanu, tiesībām iebilst, lēmumiem, kas pamatojas uz profilēšanu, kā arī attiecībā uz ziņošanu datu subjektam par personas datu aizsardzības pārkāpumiem un attiecībā uz dažiem ar to saistītiem pārziņu pienākumiem, ciktāl tas demokrātiskā sabiedrībā ir nepieciešami un samērīgi, lai garantētu sabiedrisko drošību, tostarp cilvēka dzīvības aizsardzību, jo īpaši reaģējot uz dabas vai cilvēka izraisītām katastrofām, lai garantētu noziedzīgu nodarījumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem, vai kriminālsodu izpildi, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, vai lai garantētu reglamentēto profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu un saukšanu pie atbildības par tiem, citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši svarīgas Savienības vai dalībvalsts ekonomiskās vai finanšu intereses, tādu publisku reģistru uzturēšanu, kuri vajadzīgi vispārēju sabiedrības interešu dēļ, arhivētu personas datu turpmāku apstrādi, lai sniegtu konkrētu informāciju saistībā ar politisko izturēšanos bijušo totalitāro valsts režīmu laikā, vai datu subjekta vai citu personu tiesību un brīvību aizsardzību, tostarp sociālo aizsardzību, sabiedrības veselību un humanitārus mērķus. Minētajiem ierobežojumiem vajadzētu būt saskaņā ar prasībām, kas izklāstītas hartā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijā. |
| (74) | The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons. | (74) | Būtu jāparedz pārziņa pienākumi un atbildība par ikvienu personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Jo īpaši, pārzinim būtu jāuzliek pienākums īstenot piemērotus un efektīvus pasākumus, un viņam vajadzētu spēt uzskatāmi parādīt, ka apstrādes darbības notiek saskaņā ar šo regulu, tostarp, ka pasākumi ir iedarbīgi. Minētajos pasākumos būtu jāņem vērā apstrādes raksturs, piemērošanas joma, konteksts un nolūki un risks, ko tā rada fizisku personu tiesībām un brīvībām. |
| (75) | The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects. | (75) | Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši, ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai atņemta iespēja kontrolēt savus personas datus; ja tiek apstrādāti personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību, piederību arodbiedrībai, un ja tiek apstrādāti ģenētiskie dati, veselības dati vai dati par dzimumdzīvi, vai sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem; ja tiek izvērtēti personiskie aspekti, jo īpaši analizējot vai prognozējot aspektus attiecībā uz personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, lai izveidotu vai izmantotu personiskos profilus; ja tiek apstrādāti neaizsargātu fizisku personu, īpaši bērnu, personas dati; vai ja apstrāde ietver lielu personas datu daudzumu un ietekmē lielu skaitu datu subjektu. |
| (76) | The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk. | (76) | Riska iespējamība un nopietnība attiecībā uz datu subjekta tiesībām un brīvībām būtu jānosaka, atsaucoties uz apstrādes raksturu, piemērošanas jomu, kontekstu un nolūkus. Risks būtu jāizvērtē, pamatojoties uz objektīvu novērtējumu, ar ko nosaka, vai datu apstrādes darbības ietver risku vai augstu risku. |
| (77) | Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk. | (77) | Norādījumus par piemērotu pasākumu īstenošanu un par pārziņa vai apstrādātāja atbilstības uzskatāmu parādīšanu, sevišķi attiecībā uz tāda riska identificēšanu, kas saistīts ar apstrādi, tā novērtēšanu, ņemot vērā avotus, raksturu, iespējamību un nopietnību, un paraugprakses apzināšanu, lai mazinātu risku, varētu sniegt, jo īpaši izmantojot apstiprinātus rīcības kodeksus, apstiprinātus sertifikātus, kolēģijas sniegtas pamatnostādnes vai aizsardzības speciālista sniegtas norādes. Kolēģija var sniegt arī pamatnostādnes par apstrādes darbībām, kuras uzskata par tādām, kas nevarētu radīt augstu risku fizisku personu tiesībām un brīvībām, un norāda, kādi pasākumi var būt pietiekami šādos gadījumos, lai novērstu šādu risku. |
| (78) | The protection of the rights and freedoms of natural persons with regard to the processing of personal data require that appropriate technical and organisational measures be taken to ensure that the requirements of this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default. Such measures could consist, inter alia, of minimising the processing of personal data, pseudonymising personal data as soon as possible, transparency with regard to the functions and processing of personal data, enabling the data subject to monitor the data processing, enabling the controller to create and improve security features. When developing, designing, selecting and using applications, services and products that are based on the processing of personal data or process personal data to fulfil their task, producers of the products, services and applications should be encouraged to take into account the right to data protection when developing and designing such products, services and applications and, with due regard to the state of the art, to make sure that controllers and processors are able to fulfil their data protection obligations. The principles of data protection by design and by default should also be taken into consideration in the context of public tenders. | (78) | Personu tiesību un brīvību aizsardzībai attiecībā uz fiziskas personas datu apstrādi ir vajadzīgs veikt piemērotus tehniskos un organizatoriskos pasākumus ar mērķi nodrošināt šīs regulas prasību izpildi. Lai pārzinis varētu uzskatāmi parādīt, ka šīs regulas noteikumi ir ievēroti, viņam būtu jāpieņem iekšējas vadlīnijas un jāīsteno pasākumi, kas jo īpaši atbilst integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principiem. Starp šādiem pasākumiem cita starpā var būt apstrādāto personas datu daudzuma samazināšana, personas datu pseidonimizācija, tiklīdz tas ir iespējams, pārredzamība attiecībā uz funkcijām un personas datu apstrādi, kas datu subjektam dod iespēju pārraudzīt datu apstrādi un pārzinim dod iespēju izveidot un uzlabot drošības pasākumus. Attīstot, izstrādājot, atlasot un izmantojot lietojumprogrammas, pakalpojumus un preces, kas balstās uz personas datu apstrādi vai apstrādā personas datus savu pienākumu veikšanai, preču, pakalpojumu un lietojumprogrammu ražotāji būtu jāmudina ņemt vērā tiesības uz datu aizsardzību, kad attīsta un izstrādā šādas preces, pakalpojumus un lietojumprogrammas, un pienācīgi ņemt vērā tehnikas līmeni, lai nodrošinātu, ka pārziņi un apstrādātāji spēj izpildīt savus datu aizsardzības pienākumus. Arī saistībā ar publiskā iepirkuma konkursiem būtu jāņem vērā principi, kas paredz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma. |
| (79) | The protection of the rights and freedoms of data subjects as well as the responsibility and liability of controllers and processors, also in relation to the monitoring by and measures of supervisory authorities, requires a clear allocation of the responsibilities under this Regulation, including where a controller determines the purposes and means of the processing jointly with other controllers or where a processing operation is carried out on behalf of a controller. | (79) | Datu subjekta tiesību un brīvību aizsardzība un pārziņu un apstrādātāju pienākumi un atbildība, arī saistībā ar uzraudzības iestāžu uzraudzību un īstenotajiem pasākumiem, prasa skaidri sadalīt pienākumus saskaņā ar šo regulu, tostarp arī tajos gadījumos, kad pārzinis apstrādes nolūkus un līdzekļus nosaka kopā ar citiem pārziņiem, vai gadījumos, kad apstrādes darbības tiek veiktas pārziņa vārdā. |
| (80) | Where a controller or a processor not established in the Union is processing personal data of data subjects who are in the Union whose processing activities are related to the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union, or to the monitoring of their behaviour as far as their behaviour takes place within the Union, the controller or the processor should designate a representative, unless the processing is occasional, does not include processing, on a large scale, of special categories of personal data or the processing of personal data relating to criminal convictions and offences, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing or if the controller is a public authority or body. The representative should act on behalf of the controller or the processor and may be addressed by any supervisory authority. The representative should be explicitly designated by a written mandate of the controller or of the processor to act on its behalf with regard to its obligations under this Regulation. The designation of such a representative does not affect the responsibility or liability of the controller or of the processor under this Regulation. Such a representative should perform its tasks according to the mandate received from the controller or processor, including cooperating with the competent supervisory authorities with regard to any action taken to ensure compliance with this Regulation. The designated representative should be subject to enforcement proceedings in the event of non-compliance by the controller or processor. | (80) | Ja pārzinis vai apstrādātājs, kas neveic uzņēmējdarbību Savienībā, apstrādā Savienībā esošu datu subjektu personas datus un tā apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem Savienībā – neatkarīgi no tā, vai no datu subjekta tiek prasīta samaksa – vai ar viņu uzvedības novērošanu, ciktāl viņu uzvedība notiek Savienībā, pārzinim vai apstrādātājam būtu jāieceļ pārstāvis, izņemot, ja apstrāde ir neregulāra, neietver īpašu kategoriju personas datu apstrādi plašā mērogā vai personas datu par sodāmību un pārkāpumiem apstrādi un ja ir maz ticams, ka tā radīs risku fizisku personu tiesībām un brīvībām, ņemot vērā apstrādes raksturu, kontekstu, apmēru un nolūkus, vai ja pārzinis ir publiska iestāde vai struktūra. Pārstāvim būtu jārīkojas pārziņa vai apstrādātāja vārdā, un pie viņa var vērsties jebkura uzraudzības iestāde. Pārzinim vai apstrādātājam ar rakstisku pilnvaru būtu nepārprotami jāieceļ pārstāvis, kas rīkojas pārziņa vai apstrādātāja vārdā saistībā ar tā pienākumiem, kas noteikti šajā regulā. Šāda pārstāvja iecelšana neietekmē pārziņa vai apstrādātāja pienākumus vai atbildību, kas noteikti šajā regulā. Šādam pārstāvim savi uzdevumi būtu jāveic saskaņā ar pārziņa vai apstrādātāja dotajām pilnvarām, tostarp jāsadarbojas ar kompetentajām uzraudzības iestādēm attiecībā uz jebkuru darbību, ko veic, lai nodrošinātu šīs regulas ievērošanu. Pārziņa vai apstrādātāja neatbilstības gadījumā uz iecelto pārstāvi būtu jāattiecina izpildes procedūras. |
| (81) | To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing. The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject. | (81) | Lai nodrošinātu atbilstību šīs regulas prasībām saistībā ar apstrādi, kas apstrādātājam jāveic pārziņa vārdā, kad apstrādātājam tiek uzticēts veikt apstrādes darbības, pārzinim būtu jāizmanto vienīgi tādi apstrādātāji, kuri sniedz pietiekamas garantijas, jo īpaši speciālo zināšanu, uzticamības un līdzekļu ziņā, tādu tehnisko un organizatorisko pasākumu īstenošanai, kuri atbildīs šīs regulas prasībām, tostarp apstrādes drošības jomā. Apstrādātāja atbilstību apstiprinātam rīcības kodeksam vai apstiprinātam sertifikācijas mehānismam var izmantot kā elementu, ar ko uzskatāmi parāda pārziņa pienākumu izpildi. Apstrāde, ko veic apstrādātājs, būtu jāreglamentē ar līgumu vai citu juridisku aktu atbilstīgi Savienības vai dalībvalsts tiesību aktiem, kas saista apstrādātāju ar pārzini; minētajā aktā būtu jāizklāsta apstrādes priekšmets un ilgums, apstrādes raksturs un nolūki, personas datu veids un datu subjektu kategorijas, ņemot vērā konkrētos apstrādātāja uzdevumus un pienākumus saistībā ar veicamo apstrādi un risku datu subjekta tiesībām un brīvībām. Pārzinis un apstrādātājs var izvēlēties izmantot atsevišķu līgumu vai līguma standartklauzulas, ko pieņem vai nu tieši Komisija, vai uzraudzības iestāde saskaņā ar konsekvences mehānismu un pēc tam Komisija. Pēc tam, kad apstrāde pārziņa vārdā ir pabeigta, apstrādātājam pēc pārziņa izvēles personas dati būtu jāatdod atpakaļ vai jādzēš, ja vien nav prasīts personas datus uzglabāt saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam. |
| (82) | In order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations. | (82) | Lai uzskatāmi parādītu, ka ir ievēroti šīs regulas noteikumi, pārzinim vai apstrādātājam būtu jāglabā ieraksti par apstrādes darbībām, ko viņš veic savas atbildības ietvaros. Katram pārzinim un apstrādātājam vajadzētu būt pienākumam sadarboties ar uzraudzības iestādi un pēc pieprasījuma darīt minētos ierakstus pieejamus, lai tie varētu kalpot minēto apstrādes darbību uzraudzības vajadzībām. |
| (83) | In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage. | (83) | Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī regula, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana. Minētajiem pasākumiem, ņemot vērā tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, attiecībā uz apstrādei raksturīgo risku un aizsargājamo personas datu īpatnībām. Novērtējot datu drošības risku, vērā būtu jāņem riski, ko rada personas datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu. |
| (84) | In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk. The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation. Where a data-protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing. | (84) | Lai sekmētu šīs regulas noteikumu ievērošanu gadījumos, kad apstrādes darbības varētu izraisīt augstu risku fizisku personu tiesībām un brīvībām, pārzinim vajadzētu būt atbildīgam par novērtējuma par ietekmi uz datu aizsardzību veikšanu, lai jo īpaši izvērtētu minētā riska avotus, raksturu, specifiku un nopietnību. Novērtējuma rezultāti būtu jāņem vērā, nosakot piemērotus pasākumus, kas veicami, lai uzskatāmi parādītu, ka personas datu apstrāde atbilst šai regulai. Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka apstrādes darbības ietver augstu risku, ko pārzinis nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes būtu jāveic apspriešanās ar uzraudzības iestādi. |
| (85) | A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned. Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay. | (85) | Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai īpaši nelabvēlīga ekonomiskā vai sociālā situācija. Tādēļ, tiklīdz pārzinim ir kļuvis zināms, ka noticis personas datu aizsardzības pārkāpums, pārzinim bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, būtu jāpaziņo par personas datu aizsardzības pārkāpumu uzraudzības iestādei, izņemot, ja pārzinis spēj saskaņā ar pārskatatbildības principu uzskatāmi parādīt, ka personas datu aizsardzības pārkāpums, visticamāk, nerada risku fizisku personu tiesībām un brīvībām. Ja šādu paziņojumu nevar paveikt 72 stundu laikā, paziņojumam būtu jāpievieno informācija par kavēšanās iemesliem, un informāciju var sniegt pa posmiem bez nepamatotas turpmākas kavēšanās. |
| (86) | The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication. | (86) | Ja ir iespējams, ka personas datu pārkāpums rada augstu risku fiziskās personas tiesībām un brīvībām, pārzinim bez liekas kavēšanās būtu jāpaziņo datu subjektam par personas datu pārkāpumu, lai viņš varētu veikt nepieciešamos piesardzības pasākumus. Paziņojumā būtu jāapraksta personas datu aizsardzības pārkāpuma raksturs, kā arī ieteikumi, kā attiecīgā fiziskā persona varētu mīkstināt iespējamās nelabvēlīgās sekas. Šāda paziņošana datu subjektam būtu jāveic cik vien iespējams ātri un ciešā sadarbībā ar uzraudzības iestādi, ievērojot tās vai citas attiecīgas iestādes, piemēram, tiesībaizsardzības iestādes, sniegtos norādījumus. Piemēram, ja nepieciešams mazināt tūlītēju kaitējuma risku, būtu ātri jāsniedz paziņojums datu subjektam, taču nepieciešamība īstenot piemērotus pasākumus, lai novērstu datu aizsardzības pārkāpuma turpināšanos vai līdzīgus personas datu pārkāpumus, var attaisnot vēlāku paziņošanu. |
| (87) | It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation. | (87) | Būtu jāpārliecinās, vai ir īstenoti visi attiecīgie tehniskie un organizatoriskie aizsardzības pasākumi, lai nekavējoties konstatētu, vai ir noticis personas datu aizsardzības pārkāpums, un ātri informētu uzraudzības iestādi un datu subjektu. Paziņošana bez nepamatotas kavēšanās būtu jānosaka, jo īpaši, ņemot vērā personas datu aizsardzības pārkāpuma raksturu un smagumu, kā arī tā sekas un nelabvēlīgo ietekmi uz datu subjektu. Šāda paziņošana var izraisīt uzraudzības iestādes iejaukšanos atbilstīgi tās uzdevumiem un pilnvarām, kas noteiktas šajā regulā. |
| (88) | In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach. | (88) | Nosakot sīki izstrādātus noteikumus par formātu un kārtību, kādā jāpaziņo par personas datu aizsardzības pārkāpumiem, būtu pienācīgi jāņem vērā apstākļi, kādos noticis minētais pārkāpums, tostarp tas, vai personas dati ir bijuši aizsargāti ar piemērotiem tehniskiem aizsardzības pasākumiem, ar kuru palīdzību var efektīvi ierobežot identitātes viltošanas vai cita veida ļaunprātīgas izmantošanas iespējamību. Turklāt, izstrādājot šādus noteikumus un kārtību, būtu jāņem vērā tiesībaizsardzības iestāžu leģitīmās intereses, ja priekšlaicīga informācijas atklāšana varētu nevajadzīgi kavēt personas datu pārkāpuma apstākļu izmeklēšanu. |
| (89) | Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing. | (89) | Direktīvā 95/46/EK bija noteikts vispārīgs pienākums paziņot par personas datu apstrādi uzraudzības iestādēm. Lai gan minētais pienākums radīja administratīvu un finanšu slogu, tas ne vienmēr palīdzēja uzlabot personas datu aizsardzību. Tāpēc šādi nekritiski vispārīgi paziņošanas pienākumi būtu jāatceļ un jāaizstāj ar efektīvām procedūrām un mehānismiem, kas pievēršas tiem apstrādes darbību veidiem, kuri, iespējams, var radīt augstu risku fizisku personu tiesībām un brīvībām sava rakstura, apmēra, konteksta un nolūku dēļ. Šādi apstrādes darbību veidi var būt tādi, kuri jo īpaši ietver jauno tehnoloģiju izmantošanu, vai tādi, kuri pieder pie kāda jauna veida un par kuriem pārzinis pirms tam nav veicis novērtējumu par ietekmi uz datu aizsardzību, vai tādi, pēc kuriem ir radusies vajadzība, ņemot vērā laiku, kas pagājis kopš sākotnējās apstrādes. |
| (90) | In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation. | (90) | Šādos gadījumos pārzinim pirms apstrādes būtu jāveic novērtējums par ietekmi uz datu aizsardzību, lai izvērtētu augstā riska iespējamību un nopietnību, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus un riska avotus. Minētajā novērtējumā par ietekmi jo īpaši būtu jāietver paredzētie pasākumi, aizsardzības pasākumi un mehānismi, kas mazina minēto risku, nodrošina personas datu aizsardzību un uzskatāmi parāda, ka šīs regulas noteikumi ir ievēroti. |
| (91) | This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights. A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures. A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale. The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In such cases, a data protection impact assessment should not be mandatory. | (91) | Tam jo īpaši būtu jāattiecas uz plaša mēroga apstrādes darbībām, kuru mērķis ir apstrādāt ievērojamu personas datu apjomu reģionālā, valsts vai starpvalstu līmenī un kuras var ietekmēt lielu datu subjektu skaitu un kuras var izraisīt augstu risku, piemēram, to sensitivitātes dēļ, ja saskaņā ar sasniegto tehnoloģisko zināšanu līmeni plašā mērogā tiek izmantota jauna tehnoloģija, kā arī uz citām apstrādes darbībām, kuras rada augstu risku datu subjektu tiesībām un brīvībām, jo īpaši gadījumos, kad datu subjektam ir grūtāk īstenot savas tiesības. Novērtējums par ietekmi uz datu aizsardzību būtu jāveic arī tad, ja personas dati tiek apstrādāti, lai pieņemtu lēmumus attiecībā uz konkrētām fiziskām personām pēc jebkādas ar fiziskām personām saistītu personisku aspektu sistemātiskas un plašas novērtēšanas, kuras pamatā ir minēto datu profilēšana, vai pēc īpašu kategoriju personas datu apstrādes, biometrisko datu apstrādes vai tādu datu apstrādes, kas attiecas uz sodāmību un pārkāpumiem, vai ar tiem saistītiem drošības pasākumiem. Novērtējums par ietekmi uz datu aizsardzību ir nepieciešams arī publiski pieejamu zonu uzraudzībai plašā mērogā, jo īpaši izmantojot optiskas elektroniskas iekārtas, vai visām citām darbībām, ja kompetentā uzraudzības iestāde uzskata, ka apstrāde varētu radīt augstu risku datu subjektu tiesībām un brīvībām, jo īpaši tāpēc, ka tās kavē datu subjektus īstenot savas tiesības vai izmantot pakalpojumu vai līgumu, vai tāpēc, ka minētās darbības sistemātiski veic plašā mērogā. Personas datu apstrāde nebūtu jāuzskata par apstrādi plašā mērogā, ja tā ir pacientu vai klientu personas datu apstrāde, ko veic konkrēts ārsts, veselības aprūpes speciālists vai advokāts. Šādos gadījumos novērtējumam par ietekmi uz datu aizsardzību nevajadzētu būt obligātam. |
| (92) | There are circumstances under which it may be reasonable and economical for the subject of a data protection impact assessment to be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity. | (92) | Noteiktos apstākļos var būt saprātīgi un ekonomiski veikt plašāku novērtējumu par ietekmi uz datu aizsardzību, kura priekšmets nav tikai viens projekts, piemēram, ja publiskas iestādes vai struktūras vēlas izveidot vienotu lietotņu vai apstrādes platformu vai ja vairāki pārziņi plāno ieviest vienotu lietotņu vai apstrādes vidi kādā rūpniecības nozarē vai segmentā, vai kādai plaši lietotai horizontālai darbībai. |
| (93) | In the context of the adoption of the Member State law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question, Member States may deem it necessary to carry out such assessment prior to the processing activities. | (93) | Ja pieņem dalībvalsts tiesību aktus, kuri ir publiskas iestādes vai publiskas struktūras uzdevumu izpildes pamatā un ar kuriem regulē attiecīgo konkrēto apstrādes darbību vai apstrādes darbību kopumu, dalībvalstis var uzskatīt, ka pirms apstrādes darbībām ir nepieciešams veikt minēto novērtējumu. |
| (94) | Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the supervisory authority should be consulted prior to the start of processing activities. Such high risk is likely to result from certain types of processing and the extent and frequency of processing, which may result also in a realisation of damage or interference with the rights and freedoms of the natural person. The supervisory authority should respond to the request for consultation within a specified period. However, the absence of a reaction of the supervisory authority within that period should be without prejudice to any intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation, including the power to prohibit processing operations. As part of that consultation process, the outcome of a data protection impact assessment carried out with regard to the processing at issue may be submitted to the supervisory authority, in particular the measures envisaged to mitigate the risk to the rights and freedoms of natural persons. | (94) | Ja novērtējumā par ietekmi uz datu aizsardzību ir norādīts, ka – ja nav garantijas, drošības pasākumi un mehānismi riska mazināšanai – apstrāde radītu augstu risku fizisku personu tiesībām un brīvībām un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem pasākumiem attiecībā uz pieejamo tehnoloģiju un īstenošanas izmaksām, pirms apstrādes darbību sākšanas būtu jāapspriežas ar uzraudzības iestādi. Šādu augstu risku, visticamāk, rada daži apstrādes veidi un apstrādes apjoms un biežums, kas var izraisīt arī kaitējumu vai fiziskas personas tiesību un brīvību ierobežošanu. Uzraudzības iestādei uz pieprasījumu par apspriešanos būtu jāatbild noteiktā termiņā. Tomēr tam, ka uzraudzības iestāde nav sniegusi atbildi minētajā noteiktajā termiņā, nebūtu jāskar neviena uzraudzības iestādes iejaukšanas saskaņā ar šajā regulā paredzētajiem uzdevumiem un pilnvarām, tostarp pilnvarām aizliegt apstrādes darbības. Saistībā ar minēto apspriešanās procesu uzraudzības iestādei var iesniegt novērtējuma par ietekmi uz datu aizsardzību, kas tika veikts saistībā ar attiecīgo apstrādi, iznākumu, jo īpaši pasākumus, ar kuriem paredzēts mazināt risku fizisku personu tiesībām un brīvībām. |
| (95) | The processor should assist the controller, where necessary and upon request, in ensuring compliance with the obligations deriving from the carrying out of data protection impact assessments and from prior consultation of the supervisory authority. | (95) | Apstrādātājam nepieciešamības gadījumā un pēc pieprasījuma būtu jāpalīdz pārzinim nodrošināt, ka tiek ievēroti pienākumi, kas izriet no novērtējumu par ietekmi uz datu aizsardzību veikšanas un no iepriekšējas apspriešanās ar uzraudzības iestādi. |
| (96) | A consultation of the supervisory authority should also take place in the course of the preparation of a legislative or regulatory measure which provides for the processing of personal data, in order to ensure compliance of the intended processing with this Regulation and in particular to mitigate the risk involved for the data subject. | (96) | Ar uzraudzības iestādi būtu jāapspriežas arī, sagatavojot likumdošanas vai regulatīvu pasākumu, kurš paredz personas datu apstrādi, lai nodrošinātu, ka plānotā apstrāde atbilst šīs regulas noteikumiem, un jo īpaši lai mazinātu risku attiecībā uz datu subjektu. |
| (97) | Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner. | (97) | Ja datu apstrādi veic publiska iestāde, izņemot tiesas vai neatkarīgas tiesu iestādes, kad tās pilda tiesas funkciju, ja privātajā sektorā apstrādi veic pārzinis, kura pamatdarbības sastāv no apstrādes darbībām, kam nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā, vai ja datu pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju personas datu un datu par sodāmību un pārkāpumiem apstrādi plašā mērogā, personai ar speciālām zināšanām datu aizsardzības tiesību un prakses jomā būtu jāpalīdz pārzinim vai apstrādātājam uzraudzīt to, kā iekšēji tiek ievērota šī regula. Privātajā sektorā pārziņa pamatdarbības ir saistītas ar tā galvenajām darbībām, un tās nav saistītas ar personas datu apstrādi kā palīgdarbības. Nepieciešamais speciālo zināšanu līmenis būtu jānosaka jo īpaši saskaņā ar veiktajām datu apstrādes darbībām un aizsardzību, kas nepieciešama personas datiem, kurus pārzinis vai apstrādātājs apstrādā. Šādiem datu aizsardzības speciālistiem neatkarīgi no tā, vai pārzinis ir to darba devējs, būtu jāspēj neatkarīgi pildīt savus pienākumus un uzdevumus. |
| (98) | Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons. | (98) | Lai atvieglotu šīs regulas efektīvu piemērošanu, apvienības vai citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, būtu jāmudina izstrādāt rīcības kodeksus, ievērojot šajā regulā paredzētos ierobežojumus un ņemot vērā apstrādes īpatnības konkrētās nozarēs un mikrouzņēmumu, mazo un vidējo uzņēmumu īpašās vajadzības. Jo īpaši, šādos rīcības kodeksos varētu precizēt pārziņu un apstrādātāju pienākumus, ņemot vērā apstrādei raksturīgo risku, ko tā varētu radīt fizisku personu tiesībām un brīvībām. |
| (99) | When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations. | (99) | Izstrādājot rīcības kodeksu vai grozot un paplašinot šādu kodeksu, apvienībām un citām struktūrām, kas pārstāv pārziņu vai apstrādātāju kategorijas, būtu jāapspriežas ar attiecīgajām ieinteresētajām personām, tostarp, ja iespējams, ar datu subjektiem, un jāņem vērā saistībā ar šādām apspriedēm saņemtie iesniegumi un izteiktie viedokļi. |
| (100) | In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms and data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services. | (100) | Lai uzlabotu pārredzamību un šīs regulas ievērošanu, būtu jāiedrošina izstrādāt sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, kas ļautu datu subjektam ātri novērtēt datu aizsardzības līmeni saistībā ar konkrētiem produktiem un pakalpojumiem. |
| (101) | Flows of personal data to and from countries outside the Union and international organisations are necessary for the expansion of international trade and international cooperation. The increase in such flows has raised new challenges and concerns with regard to the protection of personal data. However, when personal data are transferred from the Union to controllers, processors or other recipients in third countries or to international organisations, the level of protection of natural persons ensured in the Union by this Regulation should not be undermined, including in cases of onward transfers of personal data from the third country or international organisation to controllers, processors in the same or another third country or international organisation. In any event, transfers to third countries and international organisations may only be carried out in full compliance with this Regulation. A transfer could take place only if, subject to the other provisions of this Regulation, the conditions laid down in the provisions of this Regulation relating to the transfer of personal data to third countries or international organisations are complied with by the controller or processor. | (101) | Personas datu plūsmas uz valstīm ārpus Savienības un starptautiskām organizācijām un no tām ir vajadzīgas starptautiskās tirdzniecības un starptautiskās sadarbības paplašināšanai. Šādu plūsmu palielināšanās ir radījusi jaunas problēmas un bažas par personas datu aizsardzību. Taču gadījumos, kad personas dati no Savienības tiek nosūtīti pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskām organizācijām, aizsardzības līmenim, ko šī regula nodrošina fiziskām personām Savienībā, nebūtu jāsamazinās, tostarp gadījumos, kad personas dati no trešās valsts vai starptautiskās organizācijas tiek nosūtīti tālāk pārziņiem, apstrādātājiem tajā pašā vai citā trešā valstī vai starptautiskā organizācijā. Jebkurā gadījumā nosūtīt datus uz trešām valstīm un starptautiskām organizācijām var tikai tad, ja tiek pilnībā ievēroti šīs regulas noteikumi. Nosūtīšana varētu notikt tikai tad, ja, ņemot vērā pārējos šīs regulas noteikumus, pārzinis vai apstrādātājs ievēro šīs regulas noteikumus attiecībā uz personas datu nosūtīšanu trešām valstīm vai starptautiskām organizācijām. |
| (102) | This Regulation is without prejudice to international agreements concluded between the Union and third countries regulating the transfer of personal data including appropriate safeguards for the data subjects. Member States may conclude international agreements which involve the transfer of personal data to third countries or international organisations, as far as such agreements do not affect this Regulation or any other provisions of Union law and include an appropriate level of protection for the fundamental rights of the data subjects. | (102) | Šī regula neskar starptautiskus nolīgumus, kas noslēgti starp Savienību un trešām valstīm un ar ko regulē personas datu nosūtīšanu, tostarp paredz atbilstošas garantijas datu subjektiem. Dalībvalstis var slēgt starptautiskus nolīgumus, kas ietver personas datu nosūtīšanu trešām valstīm vai starptautiskām organizācijām, ciktāl šādi nolīgumi neietekmē šo regulu vai jebkādus citus Savienības tiesību aktu noteikumus un ciktāl tie ietver datu subjektu pamattiesību aizsardzību atbilstošā līmenī. |
| (103) | The Commission may decide with effect for the entire Union that a third country, a territory or specified sector within a third country, or an international organisation, offers an adequate level of data protection, thus providing legal certainty and uniformity throughout the Union as regards the third country or international organisation which is considered to provide such level of protection. In such cases, transfers of personal data to that third country or international organisation may take place without the need to obtain any further authorisation. The Commission may also decide, having given notice and a full statement setting out the reasons to the third country or international organisation, to revoke such a decision. | (103) | Komisija attiecībā uz visu Savienību var nolemt, ka trešā valsts, teritorija vai konkrēts sektors trešā valstī, vai starptautiska organizācija nodrošina datu aizsardzību pietiekamā līmenī, tādējādi nodrošinot juridisko noteiktību un vienotību visā Savienībā attiecībā uz trešo valsti vai starptautisko organizāciju, par kuru uzskata, ka tā nodrošina šādu aizsardzības līmeni. Šādos gadījumos personas datus uz minēto trešo valsti vai starptautisko organizāciju var nosūtīt bez nepieciešamības saņemt jebkādu turpmāku atļauju. Komisija pēc paziņojuma sniegšanas un pilnvērtīga paziņojuma, kurā izklāstīti iemesli nosūtīšanas trešai valstij vai starptautiskai organizācijai var arī nolemt atsaukt šādu lēmumu. |
| (104) | In line with the fundamental values on which the Union is founded, in particular the protection of human rights, the Commission should, in its assessment of the third country, or of a territory or specified sector within a third country, take into account how a particular third country respects the rule of law, access to justice as well as international human rights norms and standards and its general and sectoral law, including legislation concerning public security, defence and national security as well as public order and criminal law. The adoption of an adequacy decision with regard to a territory or a specified sector in a third country should take into account clear and objective criteria, such as specific processing activities and the scope of applicable legal standards and legislation in force in the third country. The third country should offer guarantees ensuring an adequate level of protection essentially equivalent to that ensured within the Union, in particular where personal data are processed in one or several specific sectors. In particular, the third country should ensure effective independent data protection supervision and should provide for cooperation mechanisms with the Member States' data protection authorities, and the data subjects should be provided with effective and enforceable rights and effective administrative and judicial redress. | (104) | Saskaņā ar pamatvērtībām, uz kurām balstās Savienība, un jo īpaši cilvēktiesību aizsardzību, Komisijai, novērtējot trešo valsti vai kādu teritoriju vai konkrētu sektoru trešā valstī, būtu jāņem vērā tas, kā konkrēta trešā valsts ievēro tiesiskumu, tiesu pieejamību, kā arī starptautiskās cilvēktiesību normas un standartus, un tās vispārējie un nozaru tiesību akti, tostarp tiesību akti attiecībā uz sabiedrisko drošību, aizsardzību un valsts drošību, kā arī sabiedrisko kārtību un krimināltiesībām. Pieņemot lēmumu par aizsardzības līmeņa pietiekamību kādā teritorijā vai konkrētā nozarē trešā valstī, būtu jāņem vērā skaidri un objektīvi kritēriji, piemēram, konkrētas apstrādes darbības un piemērojamo juridisko standartu un attiecīgajā trešā valstī spēkā esošo tiesību aktu darbības joma. Trešai valstij būtu jāpiedāvā garantijas, kas nodrošina pietiekamu aizsardzības līmeni, kurš pēc būtības ir līdzvērtīgs Savienībā nodrošinātajam, jo īpaši, ja personas datus apstrādā vienā vai vairākos konkrētos sektoros. Trešai valstij jo īpaši būtu jānodrošina efektīva neatkarīga datu aizsardzības uzraudzība un būtu jāparedz sadarbības mehānismi ar dalībvalstu datu aizsardzības iestādēm, un priekš datu subjektiem būtu jāparedz efektīvas un īstenojamas tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā. |
| (105) | Apart from the international commitments the third country or international organisation has entered into, the Commission should take account of obligations arising from the third country's or international organisation's participation in multilateral or regional systems in particular in relation to the protection of personal data, as well as the implementation of such obligations. In particular, the third country's accession to the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to the Automatic Processing of Personal Data and its Additional Protocol should be taken into account. The Commission should consult the Board when assessing the level of protection in third countries or international organisations. | (105) | Papildus starptautiskām saistībām, ko uzņēmusies trešā valsts vai starptautiskā organizācija, Komisijai būtu jāņem vērā pienākumi, kas izriet no trešās valsts vai starptautiskās organizācijas dalības daudzpusējās vai reģionālās sistēmās, jo īpaši attiecībā uz personas datu aizsardzību, kā arī šo pienākumu izpilde. Jo īpaši būtu jāņem vērā trešās valsts pievienošanās Eiropas Padomes 1981. gada 28. janvāra Konvencijai par personu aizsardzību attiecībā uz personas datu automātisko apstrādi un tās Papildu protokolam. Izvērtējot aizsardzības līmeni trešās valstīs vai starptautiskās organizācijās, Komisijai būtu jākonsultējas ar kolēģiju. |
| (106) | The Commission should monitor the functioning of decisions on the level of protection in a third country, a territory or specified sector within a third country, or an international organisation, and monitor the functioning of decisions adopted on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC. In its adequacy decisions, the Commission should provide for a periodic review mechanism of their functioning. That periodic review should be conducted in consultation with the third country or international organisation in question and take into account all relevant developments in the third country or international organisation. For the purposes of monitoring and of carrying out the periodic reviews, the Commission should take into consideration the views and findings of the European Parliament and of the Council as well as of other relevant bodies and sources. The Commission should evaluate, within a reasonable time, the functioning of the latter decisions and report any relevant findings to the Committee within the meaning of Regulation (EU) No 182/2011 of the European Parliament and of the Council (12) as established under this Regulation, to the European Parliament and to the Council. | (106) | Komisijai būtu jāuzrauga, kā darbojas lēmumi par aizsardzības līmeni trešā valstī, kādā teritorijā vai konkrētā nozarē trešā valstī, vai starptautiskā organizācijā, un jāuzrauga, kā darbojas lēmumi, kas pieņemti, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu vai 26. panta 4. punktu. Savos lēmumos par aizsardzības līmeņa pietiekamību Komisijai būtu jāparedz periodiskas pārskatīšanas mehānisms attiecībā uz to darbību. Minētā periodiskā pārskatīšana būtu jāveic, apspriežoties ar attiecīgo trešo valsti vai starptautisko organizāciju, un tajā būtu jāņem vērā visi būtiskie notikumi trešā valstī vai starptautiskajā organizācijā. Uzraudzības nolūkā un lai veiktu periodisko pārskatīšanu, Komisijai būtu jāņem vērā Eiropas Parlamenta un Padomes viedokļi un atzinumi, kā arī tie, kas iegūti no citām attiecīgajām struktūrām un avotiem. Komisijai saprātīgā laikposmā būtu jāizvērtē pēdējo minēto lēmumu darbība un par visiem attiecīgajiem atzinumiem jāziņo komitejai Eiropas Parlamenta un Padomes Regulas (ES) Nr. 182/2011 (12) nozīmē, kā noteikts saskaņā ar šo regulu, Eiropas Parlamentam un Padomei. |
| (107) | The Commission may recognise that a third country, a territory or a specified sector within a third country, or an international organisation no longer ensures an adequate level of data protection. Consequently the transfer of personal data to that third country or international organisation should be prohibited, unless the requirements in this Regulation relating to transfers subject to appropriate safeguards, including binding corporate rules, and derogations for specific situations are fulfilled. In that case, provision should be made for consultations between the Commission and such third countries or international organisations. The Commission should, in a timely manner, inform the third country or international organisation of the reasons and enter into consultations with it in order to remedy the situation. | (107) | Komisija var atzīt, ka trešā valsts, kāda teritorija vai konkrēts sektors trešā valstī, vai starptautiska organizācija vairs nenodrošina pietiekamu datu aizsardzības līmeni. Līdz ar to personas datu nosūtīšana uz šo trešo valsti vai starptautisko organizāciju būtu jāaizliedz, ja vien nav izpildītas šīs regulas prasības attiecībā uz nosūtīšanu, kam piemēro atbilstošas garantijas, tostarp saistošus uzņēmuma noteikumus, un atkāpēm īpašās situācijās. Šādā gadījumā būtu jāparedz noteikumi par apspriešanās procesu starp Komisiju un šādu trešo valsti vai starptautisko organizāciju. Komisijai būtu laikus jāinformē attiecīgā trešā valsts vai starptautiskā organizācija par iemesliem un jāapspriežas ar to, lai šo situāciju atrisinātu. |
| (108) | In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding. | (108) | Kamēr lēmums par aizsardzības līmeņa pietiekamību nav pieņemts, pārzinim vai apstrādātājam būtu jāveic pasākumi, kas kompensētu datu aizsardzības trūkumus trešā valstī, paredzot atbilstošas garantijas datu subjektam. Šādas atbilstošas garantijas varētu nozīmēt, ka tiek izmantoti saistošie uzņēmuma noteikumi, Komisijas pieņemtās standarta datu aizsardzības klauzulas, uzraudzības iestādes pieņemtās standarta datu aizsardzības klauzulas vai uzraudzības iestādes apstiprinātās līguma klauzulas. Minētajām garantijām būtu jānodrošina, lai tiktu ievērotas datu aizsardzības prasības un datu subjektu tiesības atbilstīgi Savienībā veiktai apstrādei, tostarp īstenojamu datu subjekta tiesību un efektīvu tiesiskās aizsardzības līdzekļu pieejamība, ieskaitot iespēju saņemt efektīvu aizsardzību administratīvā kārtā vai tiesā un pieprasīt kompensāciju Savienībā un trešā valstī. Tiem jo īpaši būtu jāattiecas uz atbilstību vispārīgiem principiem, kuri saistīti ar personas datu apstrādi, un “integrētas datu aizsardzības” un “datu aizsardzības pēc noklusējuma” principiem. Arī publiskās iestādes vai struktūras var veikt datu nosūtīšanu uz trešo valstu publiskām iestādēm vai struktūrām vai starptautiskām organizācijām, kurām ir atbilstoši pienākumi vai funkcijas, tostarp pamatojoties uz noteikumiem, kuri iekļaujami administratīvos pasākumos, piemēram, saprašanās memorandā, datu subjektiem paredzot īstenojamas un efektīvas tiesības. Ja garantijas ir paredzētas administratīvos noteikumos, kas nav juridiski saistoši, būtu jāsaņem kompetentās uzraudzības iestādes atļauja. |
| (109) | The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses. | (109) | Iespējai, ka pārzinis vai apstrādātājs var izmantot Komisijas vai uzraudzības iestādes pieņemtās standarta datu aizsardzības klauzulas, nebūtu jāizslēdz ne tas, ka pārzinis vai apstrādātājs var iekļaut standarta datu aizsardzības klauzulas plašākā līgumā, piemēram, līgumā starp apstrādātāju un citu apstrādātāju, ne arī tas, ka pārzinis vai apstrādātājs var pievienot citas klauzulas vai papildu garantijas, ar noteikumu, ka tās tieši vai netieši nav pretrunā Komisijas vai uzraudzības iestādes pieņemtajām līguma standartklauzulām vai neierobežo datu subjekta pamattiesības vai brīvības. Pārziņi un apstrādātāji būtu jāmudina nodrošināt papildu garantijas, izmantojot līgumsaistības, ar kurām papildina standarta aizsardzības klauzulas. |
| (110) | A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data. | (110) | Uzņēmumu grupai vai uzņēmējsabiedrību grupai, kas iesaistīta kopīgā saimnieciskā darbībā, vajadzētu būt iespējai izmantot apstiprinātus saistošos uzņēmuma noteikumus datu starptautiskai nosūtīšanai ārpus Savienības uz organizācijām, kas pieder pie tās pašas uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, ar noteikumu, ka šādi uzņēmuma noteikumi ietver visus galvenos principus un īstenojamās tiesības, kas nodrošina atbilstošas garantijas personas datu nosūtīšanai vai nosūtīšanas kategorijām. |
| (111) | Provisions should be made for the possibility for transfers in certain circumstances where the data subject has given his or her explicit consent, where the transfer is occasional and necessary in relation to a contract or a legal claim, regardless of whether in a judicial procedure or whether in an administrative or any out-of-court procedure, including procedures before regulatory bodies. Provision should also be made for the possibility for transfers where important grounds of public interest laid down by Union or Member State law so require or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest. In the latter case, such a transfer should not involve the entirety of the personal data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or, if they are to be the recipients, taking into full account the interests and fundamental rights of the data subject. | (111) | Būtu jāparedz noteikumi, kas ļauj nosūtīt datus noteiktos gadījumos, kad datu subjekts ir devis savu skaidru piekrišanu, ja nosūtīšana ir gadījuma rakstura un nepieciešama saistībā ar līgumu vai likumīgu prasību, neatkarīgi no tā, vai to izvirza tiesas procesā vai administratīvā vai ārpustiesas procedūrā, tostarp regulatīvo struktūru procedūrās. Būtu jāparedz arī noteikumi, kas ļauj nosūtīt datus, ja tas nepieciešams, pamatojoties uz Savienības vai dalībvalsts tiesību aktos noteiktām svarīgām sabiedrības interesēm, vai ja datus nosūta no reģistra, kas izveidots ar likumu un ir paredzēts, lai leģitīmi ieinteresētas personas vai sabiedrība varētu to izmantot. Pēdējā minētajā gadījumā nebūtu jānosūta pilnīgi visi reģistrā ietvertie personas dati vai veselas datu kategorijas, un, ja reģistrs ir paredzēts, lai to varētu izmantot leģitīmi ieinteresētas personas, dati būtu jānosūta tikai pēc šo personu pieprasījuma vai ja šīs personas ir datu saņēmējas, pilnībā ņemot vērā datu subjekta intereses un pamattiesības. |
| (112) | Those derogations should in particular apply to data transfers required and necessary for important reasons of public interest, for example in cases of international data exchange between competition authorities, tax or customs administrations, between financial supervisory authorities, between services competent for social security matters, or for public health, for example in the case of contact tracing for contagious diseases or in order to reduce and/or eliminate doping in sport. A transfer of personal data should also be regarded as lawful where it is necessary to protect an interest which is essential for the data subject's or another person's vital interests, including physical integrity or life, if the data subject is incapable of giving consent. In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of data to a third country or an international organisation. Member States should notify such provisions to the Commission. Any transfer to an international humanitarian organisation of personal data of a data subject who is physically or legally incapable of giving consent, with a view to accomplishing a task incumbent under the Geneva Conventions or to complying with international humanitarian law applicable in armed conflicts, could be considered to be necessary for an important reason of public interest or because it is in the vital interest of the data subject. | (112) | Šīm atkāpēm jo īpaši būtu jāattiecas uz datu nosūtīšanu, ko pieprasa un kas ir vajadzīga saistībā ar svarīgiem sabiedrības interešu iemesliem, piemēram, kad starptautiska datu apmaiņa notiek starp konkurences iestādēm, nodokļu vai muitas pārvaldēm, finanšu uzraudzības iestādēm, dienestiem, kuru kompetencē ir sociālā nodrošinājuma vai sabiedrības veselības jautājumi, piemēram, ja runa ir par kontaktu izsekojumu lipīgo slimību gadījumā vai lai samazinātu un/vai novērstu dopingu sportā. Personas datu nosūtīšana būtu arī uzskatāma par likumīgu, ja tā ir nepieciešama, lai aizsargātu kādu no interesēm, kas ir būtiskas datu subjekta vai citas personas vitālām interesēm, tostarp fiziskajai veselībai vai dzīvībai, ja datu subjekts nav spējīgs dot savu piekrišanu. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības vai dalībvalsts tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju datu nosūtīšanu uz trešo valsti vai starptautiskai organizācijai. Dalībvalstīm par šādiem lēmumiem būtu jāpaziņo Komisijai. Varētu uzskatīt, ka jebkādu datu subjekta, kurš fiziski vai juridiski nevar dot piekrišanu, personas datu nosūtīšana starptautiskai humanitārai organizācijai ar mērķi izpildīt uzdevumu saskaņā ar Ženēvas konvencijām vai ievērot starptautiskās humanitārās tiesības, kas piemērojamas bruņotos konfliktos, ir nepieciešama svarīgu iemeslu dēļ sabiedrības interesēs vai tāpēc, ka tas ir datu subjekta vitālās interesēs. |
| (113) | Transfers which can be qualified as not repetitive and that only concern a limited number of data subjects, could also be possible for the purposes of the compelling legitimate interests pursued by the controller, when those interests are not overridden by the interests or rights and freedoms of the data subject and when the controller has assessed all the circumstances surrounding the data transfer. The controller should give particular consideration to the nature of the personal data, the purpose and duration of the proposed processing operation or operations, as well as the situation in the country of origin, the third country and the country of final destination, and should provide suitable safeguards to protect fundamental rights and freedoms of natural persons with regard to the processing of their personal data. Such transfers should be possible only in residual cases where none of the other grounds for transfer are applicable. For scientific or historical research purposes or statistical purposes, the legitimate expectations of society for an increase of knowledge should be taken into consideration. The controller should inform the supervisory authority and the data subject about the transfer. | (113) | Nosūtīšana, ko var kvalificēt kā tādu, kas neatkārtojas un kas tikai attiecas uz ierobežotu datu subjektu skaitu, varētu būt iespējama arī, pamatojoties uz pārziņa pārliecinošām leģitīmām interesēm, kad minētās intereses ir svarīgākas par datu subjekta interesēm vai tiesībām un brīvībām un kad pārzinis ir novērtējis visus ar datu nosūtīšanu saistītos apstākļus. Pārzinim būtu īpaši jāapsver personas datu būtība, ierosinātās apstrādes darbības vai darbību nolūks un ilgums, kā arī situācija datu izcelsmes valstī, trešā valstī un galamērķa valstī un būtu jānodrošina piemērotas garantijas fizisku personu pamattiesību un pamatbrīvību aizsardzībai attiecībā uz viņu personas datu apstrādi. Šādai nosūtīšanai vajadzētu būt iespējamai tikai atsevišķos gadījumos, ja nepiemēro nevienu no pārējiem iemesliem attiecībā uz nosūtīšanu. Zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos būtu jāņem vērā, ka sabiedrībai ir leģitīmas tiesības sagaidīt zināšanu uzlabošanos. Pārzinim būtu jāinformē uzraudzības iestāde un datu subjekts par minēto nosūtīšanu. |
| (114) | In any case, where the Commission has taken no decision on the adequate level of data protection in a third country, the controller or processor should make use of solutions that provide data subjects with enforceable and effective rights as regards the processing of their data in the Union once those data have been transferred so that that they will continue to benefit from fundamental rights and safeguards. | (114) | Jebkurā gadījumā, ja Komisija nav pieņēmusi lēmumu par datu aizsardzības līmeņa pietiekamību trešā valstī, pārzinim vai apstrādātājam būtu jāizmanto risinājumi, kas datu subjektiem sniedz īstenojamas un efektīvas tiesības attiecībā uz viņu datu apstrādi Savienībā arī pēc tam, kad minētie dati ir nosūtīti, lai tādējādi viņi joprojām varētu baudīt savas pamattiesības un garantijas. |
| (115) | Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of natural and legal persons under the jurisdiction of the Member States. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union or Member State law to which the controller is subject. | (115) | Dažas trešās valstis pieņem normatīvos un citus tiesību aktus, kuru mērķis ir tieši regulēt apstrādes darbības, ko fiziskas un juridiskas personas veic dalībvalstu jurisdikcijā. Tas var ietvert tiesu spriedumus vai administratīvu iestāžu lēmumus trešās valstīs, ar kuriem pārzinim vai apstrādātājam prasa nosūtīt vai atklāt personas datus un kuri nav balstīti uz starptautisku nolīgumu, piemēram, savstarpējas tiesiskās palīdzības līgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību vai kādu tās dalībvalsti. Šādu normatīvu un citu tiesību aktu ekstrateritoriāla piemērošana var būt pretrunā starptautiskām tiesībām un var kavēt sasniegt tādu aizsardzību, kādu fiziskām personām Savienībā nodrošina ar šo regulu. Nosūtīšana būtu jāatļauj tikai tad, ja šīs regulas nosacījumi nosūtīšanai uz trešām valstīm ir izpildīti. Tas cita starpā varētu būt gadījumos, kad izpaušana ir nepieciešama, pamatojoties uz svarīgām sabiedrības interesēm, kas atzītas Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim. |
| (116) | When personal data moves across borders outside the Union it may put at increased risk the ability of natural persons to exercise data protection rights in particular to protect themselves from the unlawful use or disclosure of that information. At the same time, supervisory authorities may find that they are unable to pursue complaints or conduct investigations relating to the activities outside their borders. Their efforts to work together in the cross-border context may also be hampered by insufficient preventative or remedial powers, inconsistent legal regimes, and practical obstacles like resource constraints. Therefore, there is a need to promote closer cooperation among data protection supervisory authorities to help them exchange information and carry out investigations with their international counterparts. For the purposes of developing international cooperation mechanisms to facilitate and provide international mutual assistance for the enforcement of legislation for the protection of personal data, the Commission and the supervisory authorities should exchange information and cooperate in activities related to the exercise of their powers with competent authorities in third countries, based on reciprocity and in accordance with this Regulation. | (116) | Personas datu pārvietošanās pāri robežām ārpus Savienības var ievērojami ietekmēt fizisko personu spējas īstenot tiesības uz datu aizsardzību, jo īpaši, lai aizsargātu sevi pret nelikumīgu izmantošanu vai šādas informācijas atklāšanu. Vienlaikus uzraudzības iestādes var saskarties ar situāciju, ka tās nevar reaģēt uz sūdzībām vai veikt izmeklēšanu saistībā ar darbībām, kas norisinās robežu otrā pusē. To pūles kopīgi strādāt pārrobežu kontekstā var sarežģīt arī nepietiekamās preventīvās vai korektīvās pilnvaras, tiesisko regulējumu atšķirības un tādi praktiski šķēršļi kā, piemēram, ierobežoti līdzekļi. Tāpēc ir nepieciešams veicināt ciešāku datu aizsardzības uzraudzības iestāžu sadarbību, lai palīdzētu tām apmainīties ar informāciju un veikt izmeklēšanas kopā ar kolēģiem citās valstīs. Lai izstrādātu starptautiskās sadarbības mehānismus, kas veicina un sniedz starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildē, Komisijai un uzraudzības iestādēm būtu jāapmainās ar informāciju un jāsadarbojas ar kompetentajām iestādēm trešās valstīs attiecībā uz darbībām, kuras saistītas ar to pilnvaru īstenošanu, pamatojoties uz savstarpējību un saskaņā ar šo regulu. |
| (117) | The establishment of supervisory authorities in Member States, empowered to perform their tasks and exercise their powers with complete independence, is an essential component of the protection of natural persons with regard to the processing of their personal data. Member States should be able to establish more than one supervisory authority, to reflect their constitutional, organisational and administrative structure. | (117) | Tādu uzraudzības iestāžu izveide dalībvalstīs, kuras ir pilnvarotas veikt savus uzdevumus un pildīt savas pilnvaras pilnīgi neatkarīgi, ir būtiska sastāvdaļa fizisku personu aizsardzībā attiecībā uz viņu personas datu apstrādi. Dalībvalstīm būtu jāspēj izveidot vairāk nekā vienu uzraudzības iestādi atbilstoši valsts konstitucionālajai, organizatoriskajai vai administratīvajai uzbūvei. |
| (118) | The independence of supervisory authorities should not mean that the supervisory authorities cannot be subject to control or monitoring mechanisms regarding their financial expenditure or to judicial review. | (118) | Uzraudzības iestāžu neatkarībai nebūtu jānozīmē, ka uzraudzības iestādēm nevar piemērot kontroles vai uzraudzības mehānismus attiecībā uz šo iestāžu finanšu izdevumiem, vai ka uz tām nevar attiecināt pārskatīšanu tiesā. |
| (119) | Where a Member State establishes several supervisory authorities, it should establish by law mechanisms for ensuring the effective participation of those supervisory authorities in the consistency mechanism. That Member State should in particular designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the mechanism, to ensure swift and smooth cooperation with other supervisory authorities, the Board and the Commission. | (119) | Ja dalībvalsts izveido vairākas uzraudzības iestādes, tai būtu ar likumu jāizveido mehānisms, kas nodrošina šo uzraudzības iestāžu efektīvu dalību konsekvences mehānismā. Dalībvalstij būtu jo īpaši jānorīko tā uzraudzības iestāde, kas būs vienotais kontaktpunkts efektīvai šo iestāžu dalībai mehānismā, lai nodrošinātu ātru un raitu sadarbību ar citām uzraudzības iestādēm, kolēģiju un Komisiju. |
| (120) | Each supervisory authority should be provided with the financial and human resources, premises and infrastructure necessary for the effective performance of their tasks, including those related to mutual assistance and cooperation with other supervisory authorities throughout the Union. Each supervisory authority should have a separate, public annual budget, which may be part of the overall state or national budget. | (120) | Katrai uzraudzības iestādei būtu jāpiešķir finanšu un cilvēkresursi, telpas un infrastruktūra, kas nepieciešami efektīvai uzdevumu izpildei, tostarp to uzdevumu izpildei, kas saistīti ar savstarpējo palīdzību un sadarbību ar citām uzraudzības iestādēm visā Savienībā. Katrai uzraudzības iestādei vajadzētu būt atsevišķam, publiskam gada budžetam, kas var būt daļa no kopējā valsts budžeta. |
| (121) | The general conditions for the member or members of the supervisory authority should be laid down by law in each Member State and should in particular provide that those members are to be appointed, by means of a transparent procedure, either by the parliament, government or the head of State of the Member State on the basis of a proposal from the government, a member of the government, the parliament or a chamber of the parliament, or by an independent body entrusted under Member State law. In order to ensure the independence of the supervisory authority, the member or members should act with integrity, refrain from any action that is incompatible with their duties and should not, during their term of office, engage in any incompatible occupation, whether gainful or not. The supervisory authority should have its own staff, chosen by the supervisory authority or an independent body established by Member State law, which should be subject to the exclusive direction of the member or members of the supervisory authority. | (121) | Vispārējie nosacījumi, lai kļūtu par uzraudzības iestādes locekli vai locekļiem, katrā dalībvalstī būtu jānosaka ar likumu, un tajos jo īpaši būtu jāparedz, ka minētos locekļus, izmantojot pārredzamu procedūru, amatā jāieceļ vai nu dalībvalsts parlamentam, valdībai vai valsts vadītājam, pamatojoties uz valdības, valdības locekļa, parlamenta vai parlamenta palātas priekšlikumu, vai arī neatkarīgai struktūrai, kurai saskaņā ar dalībvalsts tiesību aktiem uzticēta iecelšana. Lai nodrošinātu uzraudzības iestāžu neatkarību, uzraudzības iestādes loceklim vai locekļiem būtu jārīkojas godprātīgi, jāatturas veikt jebkādas darbības, kas nav savienojamas ar viņu pienākumiem, un savu pilnvaru laikā tiem nevajadzētu uzņemties nekādu citu nesavienojamu algotu vai nealgotu darbu. Uzraudzības iestādei vajadzētu būt savam personālam, kuru izvēlas uzraudzības iestāde vai neatkarīga struktūra, kas izveidota ar dalībvalsts tiesību aktiem, un kurš būtu pakļauts vienīgi uzraudzības iestādes locekļa vai locekļu vadībai. |
| (122) | Each supervisory authority should be competent on the territory of its own Member State to exercise the powers and to perform the tasks conferred on it in accordance with this Regulation. This should cover in particular the processing in the context of the activities of an establishment of the controller or processor on the territory of its own Member State, the processing of personal data carried out by public authorities or private bodies acting in the public interest, processing affecting data subjects on its territory or processing carried out by a controller or processor not established in the Union when targeting data subjects residing on its territory. This should include handling complaints lodged by a data subject, conducting investigations on the application of this Regulation and promoting public awareness of the risks, rules, safeguards and rights in relation to the processing of personal data. | (122) | Katrai uzraudzības iestādei vajadzētu būt kompetentai savas dalībvalsts teritorijā īstenot pilnvaras un pildīt uzdevumus, kas tai piešķirti saskaņā ar šo regulu. Tam būtu jāattiecas jo īpaši uz apstrādi saistībā ar darbībām pārziņa vai apstrādātāja uzņēmējdarbības vietā savas dalībvalsts teritorijā, tādu personas datu apstādi, ko sabiedrības interesēs veic publiskas iestādes vai privātas struktūras, apstrādi, kas ietekmē datu subjektus tās teritorijā, vai apstrādi, ko veic pārzinis vai apstrādātājs, kurš neveic uzņēmējdarbību Savienībā, bet strādā ar datu subjektiem, kas dzīvo tās teritorijā. Tam būtu jāaptver datu subjekta iesniegtu sūdzību izskatīšana, izmeklēšanas veikšana par šīs regulas piemērošanu un sabiedrības informētības veicināšana par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām saistībā ar personas datu apstrādi. |
| (123) | The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should cooperate with each other and with the Commission, without the need for any agreement between Member States on the provision of mutual assistance or on such cooperation. | (123) | Uzraudzības iestādēm būtu jāuzrauga šīs regulas noteikumu piemērošana un jāveicina tās saskanīga piemērošana visā Savienībā, lai aizsargātu fiziskas personas attiecībā uz viņu personas datu apstrādi un atvieglotu personas datu brīvu apriti iekšējā tirgū. Šajā nolūkā uzraudzības iestādēm būtu jāsadarbojas citai ar citu un ar Komisiju, neparedzot nepieciešamību pēc nolīgumiem starp dalībvalstīm par savstarpējās palīdzības sniegšanu vai par šādu sadarbību. |
| (124) | Where the processing of personal data takes place in the context of the activities of an establishment of a controller or a processor in the Union and the controller or processor is established in more than one Member State, or where processing taking place in the context of the activities of a single establishment of a controller or processor in the Union substantially affects or is likely to substantially affect data subjects in more than one Member State, the supervisory authority for the main establishment of the controller or processor or for the single establishment of the controller or processor should act as lead authority. It should cooperate with the other authorities concerned, because the controller or processor has an establishment on the territory of their Member State, because data subjects residing on their territory are substantially affected, or because a complaint has been lodged with them. Also where a data subject not residing in that Member State has lodged a complaint, the supervisory authority with which such complaint has been lodged should also be a supervisory authority concerned. Within its tasks to issue guidelines on any question covering the application of this Regulation, the Board should be able to issue guidelines in particular on the criteria to be taken into account in order to ascertain whether the processing in question substantially affects data subjects in more than one Member State and on what constitutes a relevant and reasoned objection. | (124) | Ja personas datu apstrāde notiek saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbības vietā Savienībā, un pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī, vai ja apstrāde, kas notiek saistībā ar darbībām, ko veic pārziņa vai apstrādātāja vienīgajā uzņēmējdarbības vietā Savienībā, būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī, pārziņa vai apstrādātāja galvenās uzņēmējdarbības vietas vai pārziņa vai apstrādātāja vienīgās uzņēmējdarbības vietas uzraudzības iestādei būtu jārīkojas kā vadošajai iestādei. Tai būtu jāsadarbojas ar pārējām attiecīgajām iestādēm, tāpēc ka pārziņa vai apstrādātāja uzņēmējdarbības vieta atrodas to dalībvalstu teritorijā, tāpēc ka ir būtiski ietekmēti to teritorijā dzīvojošie datu subjekti vai tāpēc ka tajās ir iesniegta sūdzība. Arī tad, ja sūdzību ir iesniedzis datu subjekts, kurš nedzīvo minētajā dalībvalstī, tai uzraudzības iestādei, kurā šāda sūdzība ir iesniegta, vajadzētu arī būt attiecīgajai uzraudzības iestādei. Pildot savu uzdevumu sniegt pamatnostādnes par jebkādiem jautājumiem, kas attiecas uz šīs regulas piemērošanu, kolēģijai būtu jāspēj sniegt pamatnostādnes jo īpaši par kritērijiem, kas jāņem vērā, lai pārliecinātos, vai konkrētā apstrāde būtiski ietekmē datu subjektus vairāk nekā vienā dalībvalstī, un par to, kas ir būtisks un motivēts iebildums. |
| (125) | The lead authority should be competent to adopt binding decisions regarding measures applying the powers conferred on it in accordance with this Regulation. In its capacity as lead authority, the supervisory authority should closely involve and coordinate the supervisory authorities concerned in the decision-making process. Where the decision is to reject the complaint by the data subject in whole or in part, that decision should be adopted by the supervisory authority with which the complaint has been lodged. | (125) | Vadošajai iestādei vajadzētu būt kompetentai pieņemt saistošus lēmumus attiecībā uz pasākumiem, piemērojot pilnvaras, kas tai piešķirtas ar šo regulu. Īstenojot savas vadošās iestādes pilnvaras, uzraudzības iestādei lēmumu pieņemšanas procesā būtu cieši jāiesaista attiecīgās uzraudzības iestādes un tās jākoordinē. Ja ar lēmumu pilnībā vai daļēji noraida datu subjekta iesniegtu sūdzību, šāds lēmums būtu jāpieņem tai uzraudzības iestādei, kurai ir iesniegta sūdzība. |
| (126) | The decision should be agreed jointly by the lead supervisory authority and the supervisory authorities concerned and should be directed towards the main or single establishment of the controller or processor and be binding on the controller and processor. The controller or processor should take the necessary measures to ensure compliance with this Regulation and the implementation of the decision notified by the lead supervisory authority to the main establishment of the controller or processor as regards the processing activities in the Union. | (126) | Par lēmumu būtu kopīgi jāvienojas vadošajai uzraudzības iestādei un attiecīgajām uzraudzības iestādēm, un tam vajadzētu būt adresētam pārziņa vai apstrādātāja galvenajai vai vienīgajai uzņēmējdarbības vietai un saistošam pārzinim vai apstrādātājam. Pārzinim vai apstrādātājam būtu jāveic vajadzīgie pasākumi, lai nodrošinātu atbilstību šai regulai un tā lēmuma īstenošanu, par kuru vadošā uzraudzības iestāde paziņojusi pārziņa vai apstrādātāja galvenajai uzņēmējdarbības vietai attiecībā uz apstrādes darbībām Savienībā. |
| (127) | Each supervisory authority not acting as the lead supervisory authority should be competent to handle local cases where the controller or processor is established in more than one Member State, but the subject matter of the specific processing concerns only processing carried out in a single Member State and involves only data subjects in that single Member State, for example, where the subject matter concerns the processing of employees' personal data in the specific employment context of a Member State. In such cases, the supervisory authority should inform the lead supervisory authority without delay about the matter. After being informed, the lead supervisory authority should decide, whether it will handle the case pursuant to the provision on cooperation between the lead supervisory authority and other supervisory authorities concerned (‘one-stop-shop mechanism’), or whether the supervisory authority which informed it should handle the case at local level. When deciding whether it will handle the case, the lead supervisory authority should take into account whether there is an establishment of the controller or processor in the Member State of the supervisory authority which informed it in order to ensure effective enforcement of a decision vis-à-vis the controller or processor. Where the lead supervisory authority decides to handle the case, the supervisory authority which informed it should have the possibility to submit a draft for a decision, of which the lead supervisory authority should take utmost account when preparing its draft decision in that one-stop-shop mechanism. | (127) | Ikvienai uzraudzības iestādei, kas nerīkojas kā vadošā uzraudzības iestāde, vajadzētu būt kompetentai izskatīt vietējos gadījumus, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī, bet konkrētās apstrādes priekšmets attiecas tikai uz apstrādi, kas veikta vienā dalībvalstī, un ir saistīts tikai ar datu subjektiem šajā vienā dalībvalstī, piemēram, ja priekšmets attiecas uz darba ņēmēju personas datu apstrādi kādas dalībvalsts konkrētā nodarbinātības kontekstā. Šādā gadījumā uzraudzības iestādei par šo jautājumu būtu nekavējoties jāinformē vadošā uzraudzības iestāde. Pēc informācijas saņemšanas vadošajai uzraudzības iestādei būtu jāizlemj, vai tā izskatīs jautājumu, ievērojot noteikumu par sadarbību starp vadošo uzraudzības iestādi un citām attiecīgajām uzraudzības iestādēm (“vienas pieturas aģentūras mehānisms”), vai arī jautājums vietējā līmenī būtu jāizskata tai uzraudzības iestādei, kura par to informējusi. Lai nodrošinātu lēmuma faktisko izpildi attiecībā pret pārzini vai apstrādātāju, vadošajai uzraudzības iestādei, lemjot par to, vai tā izskatīs jautājumu, būtu jāņem vērā, vai pārzinis vai apstrādātājs veic uzņēmējdarbību tās uzraudzības iestādes dalībvalstī, kura sniegusi informāciju. Ja vadošā uzraudzības iestāde nolemj, ka tā izskatīs jautājumu, uzraudzības iestādei, kura sniegusi informāciju, vajadzētu būt iespējai iesniegt lēmuma projektu, kas vadošajai uzraudzības iestādei būtu maksimāli jāņem vērā, kad tā izstrādā sava lēmuma projektu saskaņā ar minēto vienas pieturas aģentūras mehānismu. |
| (128) | The rules on the lead supervisory authority and the one-stop-shop mechanism should not apply where the processing is carried out by public authorities or private bodies in the public interest. In such cases the only supervisory authority competent to exercise the powers conferred to it in accordance with this Regulation should be the supervisory authority of the Member State where the public authority or private body is established. | (128) | Noteikumi par vadošo uzraudzības iestādi un vienas pieturas aģentūras mehānismu nebūtu jāpiemēro, ja publiskas iestādes vai privātas struktūras apstrādi veic sabiedrības interesēs. Šādos gadījumos tās dalībvalsts uzraudzības iestādei, kurā publiskā iestāde vai privātā struktūra veic uzņēmējdarbību, vajadzētu būt vienīgajai uzraudzības iestādei, kas ir kompetenta īstenot pilnvaras, kuras tai ir piešķirtas saskaņā ar šo regulu. |
| (129) | In order to ensure consistent monitoring and enforcement of this Regulation throughout the Union, the supervisory authorities should have in each Member State the same tasks and effective powers, including powers of investigation, corrective powers and sanctions, and authorisation and advisory powers, in particular in cases of complaints from natural persons, and without prejudice to the powers of prosecutorial authorities under Member State law, to bring infringements of this Regulation to the attention of the judicial authorities and engage in legal proceedings. Such powers should also include the power to impose a temporary or definitive limitation, including a ban, on processing. Member States may specify other tasks related to the protection of personal data under this Regulation. The powers of supervisory authorities should be exercised in accordance with appropriate procedural safeguards set out in Union and Member State law, impartially, fairly and within a reasonable time. In particular each measure should be appropriate, necessary and proportionate in view of ensuring compliance with this Regulation, taking into account the circumstances of each individual case, respect the right of every person to be heard before any individual measure which would affect him or her adversely is taken and avoid superfluous costs and excessive inconveniences for the persons concerned. Investigatory powers as regards access to premises should be exercised in accordance with specific requirements in Member State procedural law, such as the requirement to obtain a prior judicial authorisation. Each legally binding measure of the supervisory authority should be in writing, be clear and unambiguous, indicate the supervisory authority which has issued the measure, the date of issue of the measure, bear the signature of the head, or a member of the supervisory authority authorised by him or her, give the reasons for the measure, and refer to the right of an effective remedy. This should not preclude additional requirements pursuant to Member State procedural law. The adoption of a legally binding decision implies that it may give rise to judicial review in the Member State of the supervisory authority that adopted the decision. | (129) | Lai nodrošinātu konsekventu šīs regulas piemērošanas uzraudzību un izpildi visā Savienībā, uzraudzības iestādēm katrā dalībvalstī vajadzētu būt vieniem un tiem pašiem uzdevumiem un faktiskajām pilnvarām, tostarp izmeklēšanas pilnvarām, korektīvām pilnvarām, pilnvarām lemt par sankcijām un atļauju izsniegšanas un padomdevēja pilnvarām, jo īpaši fizisku personu sūdzību gadījumos un neskarot kriminālvajāšanas iestāžu pilnvaras saskaņā ar dalībvalsts tiesību aktiem, lai pievērstu tiesu iestāžu uzmanību šīs regulas pārkāpumiem un iesaistītos tiesvedībā. Šādām pilnvarām būtu jāietver arī pilnvaras uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu. Dalībvalstis var noteikt citus uzdevumus, kas saistīti ar personas datu aizsardzību saskaņā ar šo regulu. Uzraudzības iestāžu pilnvaras būtu jāīsteno objektīvi, taisnīgi un saprātīgā termiņā saskaņā ar atbilstošām procesuālām garantijām, kas izklāstītas Savienības un dalībvalsts tiesību aktos. Jo īpaši, katram pasākumam, kas paredzēts, lai nodrošinātu atbilstību regulai, vajadzētu būt piemērotam, vajadzīgam un samērīgam, ņemot vērā apstākļus katrā atsevišķā gadījumā, tajā būtu jāievēro katras personas tiesības tikt uzklausītai pirms tāda individuāla pasākuma pieņemšanas, kurš viņu nelabvēlīgi ietekmētu, un kurā būtu jāizvairās no nevajadzīgām izmaksām un pārmērīga apgrūtinājuma attiecīgajām personām. Izmeklēšanas pilnvaras attiecībā uz piekļuvi telpām būtu jāīsteno saskaņā ar dalībvalsts procesuālo tiesību aktu konkrētajām prasībām, piemēram, prasību saņemt iepriekšēju tiesas atļauju. Katram uzraudzības iestādes veiktam juridiski saistošam pasākumam vajadzētu būt sagatavotam rakstiski, skaidram un nepārprotamam, tajā būtu jānorāda uzraudzības iestāde, kas pasākumu noteikusi, pasākuma noteikšanas datums, uz tā vajadzētu būt uzraudzības iestādes vadītāja vai viņa pilnvarota uzraudzības iestādes locekļa parakstam, tajā būtu jāiekļauj pasākuma pamatojums un jānorāda, ka ir tiesības uz efektīvu tiesību aizsardzību. Tam nebūtu jākavē dalībvalsts procesuālajos tiesību aktos paredzētu papildu prasību iekļaušana. Juridiski saistoša lēmuma pieņemšana nozīmē, ka tas var būt par iemeslu pārskatīšanai tiesā tajā dalībvalstī, kuras uzraudzības iestāde pieņēmusi konkrēto lēmumu. |
| (130) | Where the supervisory authority with which the complaint has been lodged is not the lead supervisory authority, the lead supervisory authority should closely cooperate with the supervisory authority with which the complaint has been lodged in accordance with the provisions on cooperation and consistency laid down in this Regulation. In such cases, the lead supervisory authority should, when taking measures intended to produce legal effects, including the imposition of administrative fines, take utmost account of the view of the supervisory authority with which the complaint has been lodged and which should remain competent to carry out any investigation on the territory of its own Member State in liaison with the competent supervisory authority. | (130) | Ja uzraudzības iestāde, kurai ir iesniegta sūdzība, nav vadošā uzraudzības iestāde, vadošajai uzraudzības iestādei būtu cieši jāsadarbojas ar to uzraudzības iestādi, kurai ir iesniegta sūdzība saskaņā ar šajā regulā izklāstītajiem noteikumiem par sadarbību un konsekvenci. Šādos gadījumos vadošajai uzraudzības iestādei, veicot pasākumus, kas paredzēti, lai radītu tiesiskas sekas, tostarp uzliekot administratīvus naudas sodus, būtu vislielākajā mērā jāņem vērā tās uzraudzības iestādes viedoklis, kurai ir iesniegta sūdzība un kurai arī turpmāk vajadzētu būt tiesīgai veikt izmeklēšanu savas dalībvalsts teritorijā sadarbībā ar vadošo uzraudzības iestādi. |
| (131) | Where another supervisory authority should act as a lead supervisory authority for the processing activities of the controller or processor but the concrete subject matter of a complaint or the possible infringement concerns only processing activities of the controller or processor in the Member State where the complaint has been lodged or the possible infringement detected and the matter does not substantially affect or is not likely to substantially affect data subjects in other Member States, the supervisory authority receiving a complaint or detecting or being informed otherwise of situations that entail possible infringements of this Regulation should seek an amicable settlement with the controller and, if this proves unsuccessful, exercise its full range of powers. This should include: specific processing carried out in the territory of the Member State of the supervisory authority or with regard to data subjects on the territory of that Member State; processing that is carried out in the context of an offer of goods or services specifically aimed at data subjects in the territory of the Member State of the supervisory authority; or processing that has to be assessed taking into account relevant legal obligations under Member State law. | (131) | Ja citai uzraudzības iestādei būtu jārīkojas kā vadošajai uzraudzības iestādei attiecībā uz pārziņa vai apstrādātāja apstrādes darbībām, bet konkrētais sūdzības priekšmets vai iespējamais pārkāpums attiecas tikai uz pārziņa vai apstrādātāja apstrādes darbībām tajā dalībvalstī, kurā ir iesniegta sūdzība vai atklāts iespējamais pārkāpums, un lieta būtiski neietekmē vai paredzams, ka būtiski neietekmēs datu subjektus citās dalībvalstīs, uzraudzības iestādei, kas saņem sūdzību vai atklāj vai kas citādi tiek informēta par situāciju, kurā, iespējams, ir pārkāpti šīs regulas noteikumi, būtu jācenšas panākt izlīgumu ar pārzini un, ja tas neizdodas, izmantot visas savas pilnvaras. Tam būtu jāietver konkrēta apstrāde, kas veikta uzraudzības iestādes dalībvalsts teritorijā vai attiecībā uz datu subjektiem minētās dalībvalsts teritorijā; apstrāde, kas veikta saistībā ar tādu preču vai pakalpojumu piedāvājumu, kas paredzēts tieši datu subjektiem uzraudzības iestādes dalībvalsts teritorijā; vai apstrāde, kas jāvērtē, ņemot vērā dalībvalsts tiesību aktos paredzētus attiecīgus juridiskus pienākumus. |
| (132) | Awareness-raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as natural persons in particular in the educational context. | (132) | Uzraudzības iestāžu rīkotajiem izpratnes veidošanas pasākumiem, kuru mērķauditorija ir sabiedrība, būtu jāietver arī konkrēti pasākumi, kas adresēti pārziņiem un apstrādātājiem, tostarp mikrouzņēmumiem, maziem un vidējiem uzņēmumiem, kā arī fiziskām personām, jo īpaši izglītības jomā. |
| (133) | The supervisory authorities should assist each other in performing their tasks and provide mutual assistance, so as to ensure the consistent application and enforcement of this Regulation in the internal market. A supervisory authority requesting mutual assistance may adopt a provisional measure if it receives no response to a request for mutual assistance within one month of the receipt of that request by the other supervisory authority. | (133) | Uzraudzības iestādēm būtu citai citu jāatbalsta savu uzdevumu izpildē un jāsniedz savstarpēja palīdzība, lai nodrošinātu šīs regulas konsekventu piemērošanu un izpildi iekšējā tirgū. Uzraudzības iestāde, kas lūdz savstarpēju palīdzību, var pieņemt pagaidu pasākumu, ja tā nav saņēmusi atbildi uz savstarpējās palīdzības pieprasījumu viena mēneša laikā pēc tam, kad otra uzraudzības iestāde ir saņēmusi minēto pieprasījumu. |
| (134) | Each supervisory authority should, where appropriate, participate in joint operations with other supervisory authorities. The requested supervisory authority should be obliged to respond to the request within a specified time period. | (134) | Katrai uzraudzības iestādei attiecīgā gadījumā būtu jāpiedalās kopīgās operācijās ar citām uzraudzības iestādēm. Uzraudzības iestādei, kurai izteikts pieprasījums, būtu jāparedz pienākums atbildēt uz pieprasījumu noteiktā termiņā. |
| (135) | In order to ensure the consistent application of this Regulation throughout the Union, a consistency mechanism for cooperation between the supervisory authorities should be established. That mechanism should in particular apply where a supervisory authority intends to adopt a measure intended to produce legal effects as regards processing operations which substantially affect a significant number of data subjects in several Member States. It should also apply where any supervisory authority concerned or the Commission requests that such matter should be handled in the consistency mechanism. That mechanism should be without prejudice to any measures that the Commission may take in the exercise of its powers under the Treaties. | (135) | Lai nodrošinātu šīs regulas konsekventu piemērošanu visā Savienībā, būtu jāizveido konsekvences mehānisms sadarbībai starp uzraudzības iestādēm. Minētais mehānisms jo īpaši būtu jāpiemēro, ja uzraudzības iestāde gatavojas pieņemt pasākumu, ar ko paredzēts radīt tiesiskas sekas attiecībā uz datu apstrādes darbībām, kas var būtiski ietekmēt lielu skaitu datu subjektu vairākās dalībvalstīs. Tas būtu jāpiemēro arī gadījumos, kad jebkura attiecīgā uzraudzības iestāde vai Komisija pieprasa šāda jautājuma izskatīšanu, izmantojot konsekvences mehānismu. Minētajam mehānismam nebūtu jāskar pasākumi, ko Komisija varētu veikt, īstenojot savas pilnvaras saskaņā ar Līgumiem. |
| (136) | In applying the consistency mechanism, the Board should, within a determined period of time, issue an opinion, if a majority of its members so decides or if so requested by any supervisory authority concerned or the Commission. The Board should also be empowered to adopt legally binding decisions where there are disputes between supervisory authorities. For that purpose, it should issue, in principle by a two-thirds majority of its members, legally binding decisions in clearly specified cases where there are conflicting views among supervisory authorities, in particular in the cooperation mechanism between the lead supervisory authority and supervisory authorities concerned on the merits of the case, in particular whether there is an infringement of this Regulation. | (136) | Piemērojot konsekvences mehānismu, kolēģijai būtu noteiktā termiņā jāsniedz atzinums, ja tā nolemj kolēģijas locekļu vairākums vai ja to pieprasa jebkura attiecīgā uzraudzības iestāde vai Komisija. Kolēģijai vajadzētu būt arī pilnvarotai pieņemt juridiski saistošus lēmumus, ja rodas strīds starp uzraudzības iestādēm. Šādā nolūkā tai skaidri noteiktos gadījumos – principā ar locekļu divu trešdaļu balsu vairākumu – būtu jāizdod juridiski saistoši lēmumi, ja uzraudzības iestādēm ir atšķirīgs viedoklis, jo īpaši sadarbības mehānismā starp vadošo uzraudzības iestādi un attiecīgajām uzraudzības iestādēm, par lietas būtību, jo īpaši par to, vai ir pārkāpta šī regula. |
| (137) | There may be an urgent need to act in order to protect the rights and freedoms of data subjects, in particular when the danger exists that the enforcement of a right of a data subject could be considerably impeded. A supervisory authority should therefore be able to adopt duly justified provisional measures on its territory with a specified period of validity which should not exceed three months. | (137) | Ir iespējama situācija, kurā ir steidzami jārīkojas, lai aizsargātu datu subjektu tiesības un brīvības, jo īpaši, ja pastāv draudi, ka var būt ievērojami traucēta datu subjekta tiesību izmantošana. Tāpēc uzraudzības iestādei savā teritorijā būtu jāvar pieņemt pienācīgi pamatotus pagaidu pasākumus, norādot konkrētu spēkā esamības laikposmu, kam nevajadzētu pārsniegt trīs mēnešus. |
| (138) | The application of such mechanism should be a condition for the lawfulness of a measure intended to produce legal effects by a supervisory authority in those cases where its application is mandatory. In other cases of cross-border relevance, the cooperation mechanism between the lead supervisory authority and supervisory authorities concerned should be applied and mutual assistance and joint operations might be carried out between the supervisory authorities concerned on a bilateral or multilateral basis without triggering the consistency mechanism. | (138) | Šāda mehānisma piemērošanai būtu jākalpo par nosacījumu tāda uzraudzības iestādes pasākuma likumīgumam, ar kuru paredzēts radīt tiesiskas sekas, tajos gadījumos, kad tā piemērošana ir obligāta. Citos ar pārrobežu elementiem saistītos gadījumos būtu jāpiemēro vadošās uzraudzības iestādes un attiecīgo uzraudzības iestāžu sadarbības mehānisms un varētu izmantot attiecīgo uzraudzības iestāžu savstarpējo palīdzību un rīkot kopīgas operācijas, pamatojoties uz to divpusējām vai daudzpusējām attiecībām, neiedarbinot konsekvences mehānismu. |
| (139) | In order to promote the consistent application of this Regulation, the Board should be set up as an independent body of the Union. To fulfil its objectives, the Board should have legal personality. The Board should be represented by its Chair. It should replace the Working Party on the Protection of Individuals with Regard to the Processing of Personal Data established by Directive 95/46/EC. It should consist of the head of a supervisory authority of each Member State and the European Data Protection Supervisor or their respective representatives. The Commission should participate in the Board's activities without voting rights and the European Data Protection Supervisor should have specific voting rights. The Board should contribute to the consistent application of this Regulation throughout the Union, including by advising the Commission, in particular on the level of protection in third countries or international organisations, and promoting cooperation of the supervisory authorities throughout the Union. The Board should act independently when performing its tasks. | (139) | Lai nodrošinātu šīs regulas konsekventu piemērošanu, kolēģija būtu jāveido kā neatkarīga Savienības struktūra. Kolēģijai tās mērķu izpildei būtu jānosaka juridiskas personas statuss. Kolēģiju vajadzētu pārstāvēt tās priekšsēdētājam. Ar to būtu jāaizstāj Darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota ar Direktīvu 95/46/EK. Tai būtu jāsastāv no katras dalībvalsts uzraudzības iestādes vadītāja un Eiropas Datu aizsardzības uzraudzītāja vai to attiecīgajiem pārstāvjiem. Komisijai būtu jāpiedalās kolēģijas darbā bez balsošanas tiesībām, un Eiropas Datu aizsardzības uzraudzītājam vajadzētu būt īpašām balsošanas tiesībām. Kolēģijai būtu jāpalīdz nodrošināt šīs regulas konsekventu piemērošanu visā Savienībā, tostarp jāsniedz padomi Komisijai jo īpaši par aizsardzības līmeni trešās valstīs vai starptautiskās organizācijās, un jāveicina uzraudzības iestāžu sadarbība visā Savienībā. Kolēģijai, pildot savus uzdevumus, būtu jārīkojas neatkarīgi. |
| (140) | The Board should be assisted by a secretariat provided by the European Data Protection Supervisor. The staff of the European Data Protection Supervisor involved in carrying out the tasks conferred on the Board by this Regulation should perform its tasks exclusively under the instructions of, and report to, the Chair of the Board. | (140) | Kolēģijai būtu jāsaņem palīdzība no sekretariāta, kuru nodrošina Eiropas Datu aizsardzības uzraudzītājs. Eiropas Datu aizsardzības uzraudzītāja personālam, kas ir iesaistīts to uzdevumu īstenošanā, kuri kolēģijai uzticēti ar šo regulu, savi uzdevumi būtu jāveic tikai saskaņā ar kolēģijas priekšsēdētāja norādījumiem un viņa pakļautībā. |
| (141) | Every data subject should have the right to lodge a complaint with a single supervisory authority, in particular in the Member State of his or her habitual residence, and the right to an effective judicial remedy in accordance with Article 47 of the Charter if the data subject considers that his or her rights under this Regulation are infringed or where the supervisory authority does not act on a complaint, partially or wholly rejects or dismisses a complaint or does not act where such action is necessary to protect the rights of the data subject. The investigation following a complaint should be carried out, subject to judicial review, to the extent that is appropriate in the specific case. The supervisory authority should inform the data subject of the progress and the outcome of the complaint within a reasonable period. If the case requires further investigation or coordination with another supervisory authority, intermediate information should be given to the data subject. In order to facilitate the submission of complaints, each supervisory authority should take measures such as providing a complaint submission form which can also be completed electronically, without excluding other means of communication. | (141) | Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību vienai uzraudzības iestādei, jo īpaši viņa pastāvīgās dzīvesvietas dalībvalstī, un tiesībām uz efektīvu tiesību aizsardzību tiesā saskaņā ar hartas 47. pantu, ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, vai ja uzraudzības iestāde nereaģē uz sūdzību, daļēji vai pilnībā noraida sūdzību vai nerīkojas, kad šāda rīcība ir nepieciešama, lai aizsargātu datu subjekta tiesības. Uz sūdzības pamata sākta izmeklēšana būtu jāveic tādā apjomā, kāds ir nepieciešams konkrētajā lietā, paredzot iespēju to pārskatīt tiesā. Uzraudzības iestādei saprātīgā termiņā būtu jāinformē datu subjekts par sūdzības izskatīšanas virzību un iznākumu. Ja lietā ir nepieciešama papildu izmeklēšana vai koordinācija ar citu uzraudzības iestādi, datu subjektam būtu jāsniedz starpposma informācija. Lai atvieglotu sūdzību iesniegšanu, katrai uzraudzības iestādei būtu jāveic tādi pasākumi kā, piemēram, sūdzības iesniegšanas veidlapas nodrošināšana, kuru var aizpildīt arī elektroniski, neizslēdzot arī citus saziņas līdzekļus. |
| (142) | Where a data subject considers that his or her rights under this Regulation are infringed, he or she should have the right to mandate a not-for-profit body, organisation or association which is constituted in accordance with the law of a Member State, has statutory objectives which are in the public interest and is active in the field of the protection of personal data to lodge a complaint on his or her behalf with a supervisory authority, exercise the right to a judicial remedy on behalf of data subjects or, if provided for in Member State law, exercise the right to receive compensation on behalf of data subjects. A Member State may provide for such a body, organisation or association to have the right to lodge a complaint in that Member State, independently of a data subject's mandate, and the right to an effective judicial remedy where it has reasons to consider that the rights of a data subject have been infringed as a result of the processing of personal data which infringes this Regulation. That body, organisation or association may not be allowed to claim compensation on a data subject's behalf independently of the data subject's mandate. | (142) | Ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, viņam vajadzētu būt tiesībām pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas personas datu aizsardzības jomā, iesniegt sūdzību viņa vārdā uzraudzības iestādē, īstenot tiesības pielietot tiesību aizsardzību tiesā datu subjektu vārdā vai – ja to paredz dalībvalsts tiesību akti – īstenot tiesības saņemt kompensāciju datu subjektu vārdā. Dalībvalsts var paredzēt, ka šādai struktūrai, organizācijai vai apvienībai ir tiesības neatkarīgi no datu subjekta pilnvarojuma minētajā dalībvalstī iesniegt sūdzību un tiesības uz efektīvu tiesību aizsardzību tiesā, ja tai ir iemesls uzskatīt, ka datu subjekta tiesības ir pārkāptas tādas personas datu apstrādes rezultātā, kas pārkāpj šo regulu. Minētajai struktūrai, organizācijai vai apvienībai var nebūt tiesību prasīt kompensāciju datu subjekta vārdā bez datu subjekta pilnvarojuma. |
| (143) | Any natural or legal person has the right to bring an action for annulment of decisions of the Board before the Court of Justice under the conditions provided for in Article 263 TFEU. As addressees of such decisions, the supervisory authorities concerned which wish to challenge them have to bring action within two months of being notified of them, in accordance with Article 263 TFEU. Where decisions of the Board are of direct and individual concern to a controller, processor or complainant, the latter may bring an action for annulment against those decisions within two months of their publication on the website of the Board, in accordance with Article 263 TFEU. Without prejudice to this right under Article 263 TFEU, each natural or legal person should have an effective judicial remedy before the competent national court against a decision of a supervisory authority which produces legal effects concerning that person. Such a decision concerns in particular the exercise of investigative, corrective and authorisation powers by the supervisory authority or the dismissal or rejection of complaints. However, the right to an effective judicial remedy does not encompass measures taken by supervisory authorities which are not legally binding, such as opinions issued by or advice provided by the supervisory authority. Proceedings against a supervisory authority should be brought before the courts of the Member State where the supervisory authority is established and should be conducted in accordance with that Member State's procedural law. Those courts should exercise full jurisdiction, which should include jurisdiction to examine all questions of fact and law relevant to the dispute before them. | Where a complaint has been rejected or dismissed by a supervisory authority, the complainant may bring proceedings before the courts in the same Member State. In the context of judicial remedies relating to the application of this Regulation, national courts which consider a decision on the question necessary to enable them to give judgment, may, or in the case provided for in Article 267 TFEU, must, request the Court of Justice to give a preliminary ruling on the interpretation of Union law, including this Regulation. Furthermore, where a decision of a supervisory authority implementing a decision of the Board is challenged before a national court and the validity of the decision of the Board is at issue, that national court does not have the power to declare the Board's decision invalid but must refer the question of validity to the Court of Justice in accordance with Article 267 TFEU as interpreted by the Court of Justice, where it considers the decision invalid. However, a national court may not refer a question on the validity of the decision of the Board at the request of a natural or legal person which had the opportunity to bring an action for annulment of that decision, in particular if it was directly and individually concerned by that decision, but had not done so within the period laid down in Article 263 TFEU. | (143) | Jebkurai fiziskai vai juridiskai personai ir tiesības saskaņā ar LESD 263. pantā paredzētajiem nosacījumiem celt Tiesā prasību par to, lai tiktu atcelts kolēģijas lēmums. Kā šādu lēmumu adresātiem attiecīgajām uzraudzības iestādēm, kuras vēlas tos apstrīdēt, prasība ir jāceļ divos mēnešos pēc tam, kad lēmumi tām ir paziņoti, ievērojot LESD 263. pantu. Ja kolēģijas lēmumi tieši un individuāli skar pārzini, apstrādātāju vai sūdzības iesniedzēju, saskaņā ar LESD 263. pantu tie var celt prasību par minēto lēmumu atcelšanu divu mēnešu laikā pēc minēto lēmumu publicēšanas kolēģijas tīmekļa vietnē. Neskarot minētās tiesības saskaņā ar LESD 263. pantu, katrai fiziskai vai juridiskai personai vajadzētu būt pieejamiem efektīviem tiesību aizsardzības līdzekļiem kompetentajā valsts tiesā pret uzraudzības iestādes lēmumu, kas rada tiesiskas sekas attiecībā uz minēto personu. Šāds lēmums jo īpaši attiecas uz to, kā uzraudzības iestāde īsteno izmeklēšanas, korektīvās un atļauju izsniegšanas pilnvaras, vai uz sūdzību noraidīšanu. Tomēr tiesības uz efektīvu tiesību aizsardzību tiesā neattiecas uz tādiem uzraudzības iestāžu veiktiem pasākumiem, kas nav juridiski saistoši, piemēram, uzraudzības iestādes izdotiem atzinumiem vai sniegtiem padomiem. Prasība pret uzraudzības iestādi būtu jāceļ tās dalībvalsts tiesās, kurā izveidota uzraudzības iestāde, un tā būtu jāizskata saskaņā ar minētās dalībvalsts procesuālajām tiesībām. Šādām tiesām vajadzētu īstenot pilnu jurisdikciju, kurai vajadzētu ietvert jurisdikciju izskatīt visus faktu jautājumus un tiesību normu piemērošanas jautājumus, kas saistīti ar tajā izskatāmo strīdu. Ja uzraudzības iestāde ir noraidījusi sūdzību, | sūdzības iesniedzējs var celt prasību tās pašas dalībvalsts tiesās. Saistībā ar tiesību aizsardzību tiesā, kas attiecas uz šīs regulas piemērošanu, ja valstu tiesas uzskata, ka ir vajadzīgs lēmums par šo jautājumu, lai šīs tiesas varētu sniegt spriedumu, tās var lūgt vai – LESD 267. pantā paredzētajā gadījumā – tām ir jālūdz, lai Tiesa sniedz prejudiciālu nolēmumu par Savienības tiesību aktu, tostarp šīs regulas, interpretāciju. Turklāt, ja uzraudzības iestādes lēmums, ar kuru īsteno kolēģijas lēmumu, tiek apstrīdēts valsts tiesā, un ja runa ir par kolēģijas lēmuma spēkā esamību, minētajai valsts tiesai nav pilnvaru paziņot, ka kolēģijas lēmums nav spēkā, un valsts tiesai, ja tā attiecīgo lēmumu uzskata par spēkā neesošu, jautājums par spēkā esamību ir jānodod tālāk Tiesai saskaņā ar LESD 267. pantu, kā Tiesa to ir interpretējusi. Tomēr valsts tiesa jautājumu par kolēģijas lēmuma spēkā esamību nevar tālāk nodot pēc tādas fiziskas vai juridiskas personas lūguma, kurai bija iespēja celt prasību par minētā lēmuma atcelšanu, jo īpaši, ja minētais lēmums to ir tieši un individuāli skāris, bet kura to nav izdarījusi LESD 263. pantā noteiktajā termiņā. |
| (144) | Where a court seized of proceedings against a decision by a supervisory authority has reason to believe that proceedings concerning the same processing, such as the same subject matter as regards processing by the same controller or processor, or the same cause of action, are brought before a competent court in another Member State, it should contact that court in order to confirm the existence of such related proceedings. If related proceedings are pending before a court in another Member State, any court other than the court first seized may stay its proceedings or may, on request of one of the parties, decline jurisdiction in favour of the court first seized if that court has jurisdiction over the proceedings in question and its law permits the consolidation of such related proceedings. Proceedings are deemed to be related where they are so closely connected that it is expedient to hear and determine them together in order to avoid the risk of irreconcilable judgments resulting from separate proceedings. | (144) | Ja tiesai, kurā celta prasība pret uzraudzības iestādes lēmumu, ir pamats uzskatīt, ka kompetentā tiesā citā dalībvalstī ir iesniegta prasība par to pašu apstrādi – piemēram, par to pašu priekšmetu attiecībā uz tā paša pārziņa vai apstrādātāja veiktu apstrādi vai to pašu prasības priekšmetu –, tai būtu jāsazinās ar minēto tiesu, lai pārliecinātos par šādu saistītu tiesvedību. Ja tiesā citā dalībvalstī notiek saistīta tiesvedība, jebkura tiesa, kas nav tā tiesa, kurā pirmajā celta prasība, var apturēt tiesvedību vai tā pēc vienas puses prasības var atteikties no jurisdikcijas par labu tiesai, kurā pirmajā celta prasība, ja minētajai tiesai ir jurisdikcija attiecīgajā tiesvedībā un ja tās tiesību akti ļauj apvienot šādas saistītas tiesvedības. Tiesvedības uzskata par saistītām, ja tās ir tik cieši saistītas, ka ir lietderīgi tās izskatīt un izlemt kopā, lai novērstu nesavienojamu nolēmumu risku, ko rada atsevišķas tiesvedības. |
| (145) | For proceedings against a controller or processor, the plaintiff should have the choice to bring the action before the courts of the Member States where the controller or processor has an establishment or where the data subject resides, unless the controller is a public authority of a Member State acting in the exercise of its public powers. | (145) | Tiesvedībā pret pārzini vai apstrādātāju, prasītājam vajadzētu būt izvēles tiesībām vērsties tās dalībvalsts tiesā, kurā atrodas pārziņa vai apstrādātāja uzņēmējdarbības vieta vai kurā atrodas datu subjekta dzīvesvieta, izņemot, ja pārzinis ir dalībvalsts publiska iestāde, kas rīkojas, pildot savas publiskās pilnvaras. |
| (146) | The controller or processor should compensate any damage which a person may suffer as a result of processing that infringes this Regulation. The controller or processor should be exempt from liability if it proves that it is not in any way responsible for the damage. The concept of damage should be broadly interpreted in the light of the case-law of the Court of Justice in a manner which fully reflects the objectives of this Regulation. This is without prejudice to any claims for damage deriving from the violation of other rules in Union or Member State law. Processing that infringes this Regulation also includes processing that infringes delegated and implementing acts adopted in accordance with this Regulation and Member State law specifying rules of this Regulation. Data subjects should receive full and effective compensation for the damage they have suffered. Where controllers or processors are involved in the same processing, each controller or processor should be held liable for the entire damage. However, where they are joined to the same judicial proceedings, in accordance with Member State law, compensation may be apportioned according to the responsibility of each controller or processor for the damage caused by the processing, provided that full and effective compensation of the data subject who suffered the damage is ensured. Any controller or processor which has paid full compensation may subsequently institute recourse proceedings against other controllers or processors involved in the same processing. | (146) | Pārzinim vai apstrādātājam būtu jākompensē jebkurš kaitējums, kurš personai var būt nodarīts tādas apstrādes rezultātā, kura pārkāpj šo regulu. Pārzinis vai apstrādātājs būtu jāatbrīvo no atbildības, ja tas pierāda, ka nekādā veidā nav atbildīgs par kaitējumu. Kaitējuma jēdziens būtu plaši jāinterpretē, ņemot vērā Tiesas judikatūru, tādā veidā, kas pilnībā atbilst šīs regulas mērķiem. Tas neskar prasības par kaitējumu, kas izriet no citu Savienības vai dalībvalstu tiesību aktu noteikumu pārkāpumiem. Apstrāde, kas pārkāpj šo regulu, ietver arī apstrādi, kas pārkāpj deleģētos un īstenošanas aktus, kuri pieņemti saskaņā ar šo regulu un dalībvalsts tiesību aktiem, kuros precizēti šīs regulas noteikumi. Datu subjektiem būtu jāsaņem pilna un iedarbīga kompensācija par tiem nodarīto kaitējumu. Ja pārziņi vai apstrādātāji ir iesaistīti tajā pašā apstrādē, katram pārzinim vai apstrādātājam vajadzētu būt atbildīgam par visu kaitējumu. Tomēr, ja uz viņiem attiecina to pašu tiesvedību saskaņā ar dalībvalsts tiesību aktiem, kompensāciju var iedalīt saskaņā ar katra kontroliera vai apstrādātāja atbildību par apstrādes radīto kaitējumu, ja vien cietušajam datu subjektam tiek nodrošināta pilnīga un efektīva kompensācija. Jebkurš pārzinis vai apstrādātājs pēc pilnas kompensācijas samaksāšanas var celt regresa prasību pret citiem pārziņiem vai apstrādātājiem, kas iesaistīti tajā pašā apstrādē. |
| (147) | Where specific rules on jurisdiction are contained in this Regulation, in particular as regards proceedings seeking a judicial remedy including compensation, against a controller or processor, general jurisdiction rules such as those of Regulation (EU) No 1215/2012 of the European Parliament and of the Council (13) should not prejudice the application of such specific rules. | (147) | Ja šajā regulā paredzēti konkrēti noteikumi par jurisdikciju, jo īpaši attiecībā uz tiesvedību par tiesību aizsardzību, tostarp kompensāciju, pret pārzini vai apstrādātāju, vispārējiem jurisdikcijas noteikumiem, piemēram, tiem, kas paredzēti Eiropas Parlamenta un Padomes Regulā (ES) Nr. 1215/2012 (13), nebūtu jāskar šādu konkrētu noteikumu piemērošana. |
| (148) | In order to strengthen the enforcement of the rules of this Regulation, penalties including administrative fines should be imposed for any infringement of this Regulation, in addition to, or instead of appropriate measures imposed by the supervisory authority pursuant to this Regulation. In a case of a minor infringement or if the fine likely to be imposed would constitute a disproportionate burden to a natural person, a reprimand may be issued instead of a fine. Due regard should however be given to the nature, gravity and duration of the infringement, the intentional character of the infringement, actions taken to mitigate the damage suffered, degree of responsibility or any relevant previous infringements, the manner in which the infringement became known to the supervisory authority, compliance with measures ordered against the controller or processor, adherence to a code of conduct and any other aggravating or mitigating factor. The imposition of penalties including administrative fines should be subject to appropriate procedural safeguards in accordance with the general principles of Union law and the Charter, including effective judicial protection and due process. | (148) | Lai stiprinātu šīs regulas noteikumu izpildi, papildus atbilstošiem pasākumiem, ko uzraudzības iestāde piemēro saskaņā ar šo regulu, vai to vietā, par šīs regulas pārkāpumiem būtu jāpiemēro sankcijas, tostarp administratīvi naudas sodi. Nenozīmīgu pārkāpumu gadījumā vai ja naudas sods, kādu varētu uzlikt, radītu nesamērīgu slogu fiziskai personai, naudas soda vietā var izteikt rājienu. Tomēr būtu pienācīgi jāņem vērā pārkāpuma būtība, smagums un ilgums, tas, vai pārkāpums izdarīts tīši, darbības, kas veiktas, lai mazinātu ciesto kaitējumu, atbildības pakāpe vai jebkādi attiecīgi iepriekšēji pārkāpumi, veids, kādā uzraudzības iestāde uzzināja par pārkāpumu, atbilstība pasākumiem, kas vērsti pret uzraudzītāju vai apstrādātāju, rīcības kodeksa ievērošana un jebkādi citi pastiprinoši vai mīkstinoši apstākļi. Sankciju, tostarp administratīvu naudas sodu, uzlikšanai būtu jāpiemēro atbilstošas procesuālās garantijas saskaņā ar vispārīgiem Savienības tiesību principiem un hartu, tostarp efektīva tiesību aizsardzība tiesā un pienācīgas procedūras. |
| (149) | Member States should be able to lay down the rules on criminal penalties for infringements of this Regulation, including for infringements of national rules adopted pursuant to and within the limits of this Regulation. Those criminal penalties may also allow for the deprivation of the profits obtained through infringements of this Regulation. However, the imposition of criminal penalties for infringements of such national rules and of administrative penalties should not lead to a breach of the principle of ne bis in idem, as interpreted by the Court of Justice. | (149) | Dalībvalstīm būtu jāspēj paredzēt noteikumus attiecībā uz kriminālsodiem par šīs regulas pārkāpumiem, tostarp par to valsts tiesību aktu pārkāpumiem, kas pieņemti saskaņā ar šo regulu vai ievērojot tajā noteiktos ierobežojumus. Minētajiem kriminālsodiem būtu jāparedz arī iespēja atņemt ienākumus, kas gūti šīs regulas pārkāpumu rezultātā. Tomēr kriminālsodu piemērošana par šādu valsts noteikumu pārkāpumiem un administratīvu sodu piemērošana nebūtu jāizraisa ne bis in idem principa pārkāpšana, kā to interpretējusi Tiesa. |
| (150) | In order to strengthen and harmonise administrative penalties for infringements of this Regulation, each supervisory authority should have the power to impose administrative fines. This Regulation should indicate infringements and the upper limit and criteria for setting the related administrative fines, which should be determined by the competent supervisory authority in each individual case, taking into account all relevant circumstances of the specific situation, with due regard in particular to the nature, gravity and duration of the infringement and of its consequences and the measures taken to ensure compliance with the obligations under this Regulation and to prevent or mitigate the consequences of the infringement. Where administrative fines are imposed on an undertaking, an undertaking should be understood to be an undertaking in accordance with Articles 101 and 102 TFEU for those purposes. Where administrative fines are imposed on persons that are not an undertaking, the supervisory authority should take account of the general level of income in the Member State as well as the economic situation of the person in considering the appropriate amount of the fine. The consistency mechanism may also be used to promote a consistent application of administrative fines. It should be for the Member States to determine whether and to which extent public authorities should be subject to administrative fines. Imposing an administrative fine or giving a warning does not affect the application of other powers of the supervisory authorities or of other penalties under this Regulation. | (150) | Lai stiprinātu un saskaņotu administratīvos sodus par šīs regulas pārkāpumiem, katrai uzraudzības iestādei būtu jāpiešķir pilnvaras uzlikt administratīvus naudas sodus. Šajā regulā būtu jānorāda pārkāpumi un jānosaka attiecīgā administratīvā naudas soda maksimālais apmērs un kritēriji tā noteikšanai, kas katrā konkrētā gadījumā būtu jānosaka uzraudzības iestādei, ņemot vērā visus attiecīgos konkrētās situācijas apstākļus un pienācīgi ņemot vērā jo īpaši pārkāpuma būtību, smagumu un ilgumu un tā sekas, kā arī pasākumus, kas veikti, lai nodrošinātu šajā regulā paredzēto pienākumu ievērošanu un novērstu vai mazinātu pārkāpuma sekas. Ja administratīvie naudas sodi tiek uzlikti uzņēmumam, minētajā nolūkā uzņēmums būtu jāsaprot kā uzņēmums saskaņā ar LESD 101. un 102. pantu. Ja administratīvie naudas sodi tiek uzlikti personām, kas nav uzņēmums, uzraudzības iestādei, apsverot atbilstošo naudas soda apjomu, būtu jāņem vērā vispārējais ienākumu līmenis dalībvalstī, kā arī attiecīgās personas ekonomiskā situācija. Konsekvences mehānismu arī varētu izmantot, lai veicinātu administratīvo naudas sodu konsekventu piemērošanu. Dalībvalstīm būtu jānosaka, vai un kādā apmērā administratīvie naudas sodi būtu piemērojami publiskām iestādēm. Administratīvo naudas sodu uzlikšana vai brīdinājuma izteikšana neietekmē citu uzraudzības iestādes pilnvaru vai citu šajā regulā noteikto sankciju piemērošanu. |
| (151) | The legal systems of Denmark and Estonia do not allow for administrative fines as set out in this Regulation. The rules on administrative fines may be applied in such a manner that in Denmark the fine is imposed by competent national courts as a criminal penalty and in Estonia the fine is imposed by the supervisory authority in the framework of a misdemeanour procedure, provided that such an application of the rules in those Member States has an equivalent effect to administrative fines imposed by supervisory authorities. Therefore the competent national courts should take into account the recommendation by the supervisory authority initiating the fine. In any event, the fines imposed should be effective, proportionate and dissuasive. | (151) | Dānijas un Igaunijas tiesību sistēmas nepieļauj administratīvus naudas sodus, kā tie izklāstīti šajā regulā. Noteikumus par administratīvajiem naudas sodiem var piemērot tā, ka Dānijā naudas sodu kā kriminālsodu uzliek kompetentās valsts tiesas, un Igaunijā naudas sodu saskaņā ar pārkāpuma procedūru uzliek uzraudzības iestāde, ar noteikumu, ka šāda noteikumu piemērošana minētajās dalībvalstīs ir pielīdzināma administratīvajiem naudas sodiem, ko uzliek uzraudzības iestādes. Tādēļ kompetentajām valsts tiesām būtu jāņem vērā tās uzraudzības iestādes ieteikums, kura ierosina naudas sodu. Jebkurā gadījumā uzliktajiem naudas sodiem vajadzētu būt iedarbīgiem, samērīgiem un atturošiem. |
| (152) | Where this Regulation does not harmonise administrative penalties or where necessary in other cases, for example in cases of serious infringements of this Regulation, Member States should implement a system which provides for effective, proportionate and dissuasive penalties. The nature of such penalties, criminal or administrative, should be determined by Member State law. | (152) | Ja ar šo regulu netiek saskaņoti administratīvie sodi vai ja tas vajadzīgs citos gadījumos, piemēram, nopietnu šīs regulas pārkāpumu gadījumos, dalībvalstīm būtu jāievieš sistēma, kas paredz iedarbīgas, samērīgas un atturošas sankcijas. Šādu sankciju – kriminālu vai administratīvu – raksturs būtu jānosaka ar dalībvalsts tiesību aktiem. |
| (153) | Member States law should reconcile the rules governing freedom of expression and information, including journalistic, academic, artistic and or literary expression with the right to the protection of personal data pursuant to this Regulation. The processing of personal data solely for journalistic purposes, or for the purposes of academic, artistic or literary expression should be subject to derogations or exemptions from certain provisions of this Regulation if necessary to reconcile the right to the protection of personal data with the right to freedom of expression and information, as enshrined in Article 11 of the Charter. This should apply in particular to the processing of personal data in the audiovisual field and in news archives and press libraries. Therefore, Member States should adopt legislative measures which lay down the exemptions and derogations necessary for the purpose of balancing those fundamental rights. Member States should adopt such exemptions and derogations on general principles, the rights of the data subject, the controller and the processor, the transfer of personal data to third countries or international organisations, the independent supervisory authorities, cooperation and consistency, and specific data-processing situations. Where such exemptions or derogations differ from one Member State to another, the law of the Member State to which the controller is subject should apply. In order to take account of the importance of the right to freedom of expression in every democratic society, it is necessary to interpret notions relating to that freedom, such as journalism, broadly. | (153) | Dalībvalstu tiesību aktos būtu jāsaglabā līdzsvars starp noteikumiem, ar kuriem reglamentē vārda un informācijas brīvību, tostarp žurnālistu izteiksmes, akadēmiskās, mākslinieciskās vai literārās izpausmes brīvību, un tiesībām uz personas datu aizsardzību saskaņā ar šo regulu. Uz personas datu apstrādi tikai žurnālistikas vajadzībām vai akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām būtu jāattiecas atkāpēm vai izņēmumiem no atsevišķiem šīs regulas noteikumiem, ja tas vajadzīgs, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un tiesībām uz vārda un informācijas brīvību un jo īpaši tiesībām saņemt un sniegt informāciju, kā tas ietverts hartas 11. pantā. Tas būtu jo īpaši jāpiemēro personas datu apstrādei audiovizuālajā jomā un ziņu arhīvos, un preses bibliotēkās. Tāpēc dalībvalstīm būtu jāpieņem leģislatīvi pasākumi, kuros noteikti izņēmumi un atkāpes, kas ir nepieciešamas minēto pamattiesību līdzsvara nodrošināšanai. Dalībvalstīm būtu jāpieņem šādi izņēmumi un atkāpes par vispārīgajiem principiem, datu subjektu tiesībām, pārziņiem un apstrādātājiem, personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām, neatkarīgām uzraudzības iestādēm, sadarbību un konsekvenci un par īpašām datu apstrādes situācijām. Ja šādi izņēmumi vai atkāpes dažādās dalībvalstīs ir atšķirīgi, būtu jāpiemēro tās dalībvalsts tiesību akti, kuri attiecas uz pārzini. Lai vārda brīvības īpaši svarīgā loma katrā demokrātiskā sabiedrībā būtu pietiekami ņemta vērā, jēdzieni, kas saistīti ar šo brīvību, piemēram, jēdziens “žurnālistika”, ir jāinterpretē plaši. |
| (154) | This Regulation allows the principle of public access to official documents to be taken into account when applying this Regulation. Public access to official documents may be considered to be in the public interest. Personal data in documents held by a public authority or a public body should be able to be publicly disclosed by that authority or body if the disclosure is provided for by Union or Member State law to which the public authority or public body is subject. Such laws should reconcile public access to official documents and the reuse of public sector information with the right to the protection of personal data and may therefore provide for the necessary reconciliation with the right to the protection of personal data pursuant to this Regulation. The reference to public authorities and bodies should in that context include all authorities or other bodies covered by Member State law on public access to documents. Directive 2003/98/EC of the European Parliament and of the Council (14) leaves intact and in no way affects the level of protection of natural persons with regard to the processing of personal data under the provisions of Union and Member State law, and in particular does not alter the obligations and rights set out in this Regulation. In particular, that Directive should not apply to documents to which access is excluded or restricted by virtue of the access regimes on the grounds of protection of personal data, and parts of documents accessible by virtue of those regimes which contain personal data the re-use of which has been provided for by law as being incompatible with the law concerning the protection of natural persons with regard to the processing of personal data. | (154) | Šī regula atļauj ņemt vērā principu par publisku piekļuvi oficiāliem dokumentiem, piemērojot šo regulu. Publisku piekļuvi oficiāliem dokumentiem var uzskatīt par tādu, kas ir sabiedrības interesēs. Publiskas iestādes vai publiskas struktūras rīcībā esošajos dokumentos ietvertos personas datus minētajai iestādei vai struktūrai būtu jāspēj izpaust saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri attiecas uz publisko iestādi vai publisko struktūru. Ar šādiem tiesību aktiem publiska piekļuve oficiāliem dokumentiem un publiskā sektora informācijas atkalizmantošana būtu jāsaskaņo ar tiesībām uz personas datu aizsardzību, un tāpēc tajos var paredzēt nepieciešamo saskaņošanu ar tiesībām uz personas datu aizsardzību, ievērojot šo regulu. Atsaucē uz publiskām iestādēm vai publiskām struktūrām minētajā kontekstā būtu jāiekļauj visas iestādes vai citas struktūras, uz kurām attiecas dalībvalstu tiesību akti par publisku piekļuvi dokumentiem. Eiropas Parlamenta un Padomes Direktīva 2003/98/EK (14) nemaina un nekādā veidā neskar fizisku personu aizsardzības līmeni saistībā ar personas datu apstrādi saskaņā ar Savienības un dalībvalstu tiesību aktu noteikumiem, un jo īpaši tā neizmaina pienākumus un tiesības, kādi noteikti ar šo regulu. Jo īpaši minētā direktīva nebūtu jāpiemēro dokumentiem, kuriem piekļuve ir liegta vai ierobežota ar piekļuves režīmiem, kas tiek pamatoti ar personas datu aizsardzību, un dokumentu daļām, kurām var piekļūt saskaņā ar minētajiem režīmiem un kas satur personas datus, kuru atkalizmantošana tiesību aktos ir noteikta kā nesavienojama ar tiesību aktiem par fizisku personu aizsardzību saistībā ar personas datu apstrādi. |
| (155) | Member State law or collective agreements, including ‘works agreements’, may provide for specific rules on the processing of employees' personal data in the employment context, in particular for the conditions under which personal data in the employment context may be processed on the basis of the consent of the employee, the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship. | (155) | Dalībvalsts tiesību aktos vai koplīgumos, tostarp “darba līgumos”, var paredzēt konkrētus noteikumus par darba ņēmēju personas datu apstrādi saistībā ar nodarbinātību, jo īpaši nosacījumus, saskaņā ar kuriem personas datus saistībā ar nodarbinātību var apstrādāt, pamatojoties uz darba ņēmēja piekrišanu, tādos nolūkos kā pieņemšana darbā, darba līguma izpilde, tostarp to pienākumu izpilde, kas noteikti tiesību aktos vai koplīgumā, darba vadība, darba plānošana un organizēšana, līdztiesība un dažādība darbvietā, veselība un drošība darbā, kā arī tādos nolūkos kā individuālu vai kolektīvu ar nodarbinātību saistītu tiesību un priekšrocību izmantošana vai baudīšana un darba attiecību izbeigšana. |
| (156) | The processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be subject to appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation. Those safeguards should ensure that technical and organisational measures are in place in order to ensure, in particular, the principle of data minimisation. The further processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is to be carried out when the controller has assessed the feasibility to fulfil those purposes by processing data which do not permit or no longer permit the identification of data subjects, provided that appropriate safeguards exist (such as, for instance, pseudonymisation of the data). Member States should provide for appropriate safeguards for the processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. Member States should be authorised to provide, under specific conditions and subject to appropriate safeguards for data subjects, specifications and derogations with regard to the information requirements and rights to rectification, to erasure, to be forgotten, to restriction of processing, to data portability, and to object when processing personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. The conditions and safeguards in question may entail specific procedures for data subjects to exercise those rights if this is appropriate in the light of the purposes sought by the specific processing along with technical and organisational measures aimed at minimising the processing of personal data in pursuance of the proportionality and necessity principles. The processing of personal data for scientific purposes should also comply with other relevant legislation such as on clinical trials. | (156) | Uz personas datu apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos būtu, ievērojot šo regulu, jāattiecina atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām būtu jānodrošina, ka pastāv tehniski un organizatoriski pasākumi, lai jo īpaši nodrošinātu datu minimizēšanas principu. Personas datu turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos ir jāveic, kad pārzinis ir novērtējis iespējamību sasniegt minētos nolūkus, apstrādājot datus, kas neļauj vai vairs neļauj identificēt datu subjektus, ar noteikumu, ka pastāv atbilstošas garantijas (piemēram, datu pseidonimizācija). Dalībvalstīm būtu jāparedz atbilstošas garantijas attiecībā uz personas datu apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos. Dalībvalstīm vajadzētu būt pilnvarotām paredzēt – ar konkrētiem nosacījumiem un ievērojot atbilstošas garantijas datu subjektiem –, specifikācijas un atkāpes attiecībā uz informācijas prasībām un tiesībām uz personas datu labošanu vai dzēšanu, tiesībām tikt aizmirstam, apstrādes ierobežošanu, tiesībām uz datu pārnesamību un tiesībām iebilst, ja personas datus apstrādā arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos. Attiecīgie nosacījumi un garantijas var ietvert konkrētas procedūras, kā datu subjektiem īstenot minētās tiesības, ja tas ir piemēroti, ņemot vērā konkrētās apstrādes nolūkus, kā arī tehniskos un organizatoriskos pasākumus, kuru mērķis ir samazināt apstrādāto personas datu daudzumu, lai panāktu atbilstību proporcionalitātes un nepieciešamības principiem. Personas datu apstrādei zinātniskos nolūkos būtu jāatbilst arī citiem attiecīgiem tiesību aktiem, piemēram, par klīniskajām pārbaudēm. |
| (157) | By coupling information from registries, researchers can obtain new knowledge of great value with regard to widespread medical conditions such as cardiovascular disease, cancer and depression. On the basis of registries, research results can be enhanced, as they draw on a larger population. Within social science, research on the basis of registries enables researchers to obtain essential knowledge about the long-term correlation of a number of social conditions such as unemployment and education with other life conditions. Research results obtained through registries provide solid, high-quality knowledge which can provide the basis for the formulation and implementation of knowledge-based policy, improve the quality of life for a number of people and improve the efficiency of social services. In order to facilitate scientific research, personal data can be processed for scientific research purposes, subject to appropriate conditions and safeguards set out in Union or Member State law. | (157) | Sasaistot informāciju no reģistriem, pētnieki var iegūt jaunas vērtīgas zināšanas, par tādām plaši izplatītām veselības problēmām kā sirds un asinsvadu slimības, vēzis un depresija. Balstoties uz reģistriem, pētījumu rezultāti var tikt uzlaboti, jo tie būs iegūti, balstoties uz lielāku iedzīvotāju skaitu. Sociālo zinātņu jomā uz reģistriem balstīti pētījumi ļauj pētniekiem iegūt būtiskas zināšanas par dažādu sociālo apstākļu, piemēram, bezdarba situācijas un izglītības līmeņa ilgtermiņa saikni ar citiem dzīves apstākļiem. Pētījumu rezultāti, kas iegūti no reģistriem, sniedz stabilas, augstas kvalitātes zināšanas, kas var radīt pamatu uz zināšanām balstītas politikas noteikšanai un īstenošanai, uzlabot dzīves kvalitāti daudziem cilvēkiem un uzlabot sociālo pakalpojumu efektivitāti. Lai veicinātu zinātnisko pētniecību, personas datus var apstrādāt zinātniskās pētniecības nolūkos, ievērojot atbilstošus nosacījumus un garantijas, kas paredzēti Savienības vai dalībvalsts tiesību aktos. |
| (158) | Where personal data are processed for archiving purposes, this Regulation should also apply to that processing, bearing in mind that this Regulation should not apply to deceased persons. Public authorities or public or private bodies that hold records of public interest should be services which, pursuant to Union or Member State law, have a legal obligation to acquire, preserve, appraise, arrange, describe, communicate, promote, disseminate and provide access to records of enduring value for general public interest. Member States should also be authorised to provide for the further processing of personal data for archiving purposes, for example with a view to providing specific information related to the political behaviour under former totalitarian state regimes, genocide, crimes against humanity, in particular the Holocaust, or war crimes. | (158) | Ja personas datus apstrādā arhivēšanas nolūkos, šī regula būtu jāpiemēro arī minētajai apstrādei, paturot prātā, ka šī regula nebūtu jāpiemēro mirušu personu personas datiem. Publiskām iestādēm vai publiskām vai privātām struktūrām, kuras glabā sabiedriskas nozīmes ierakstus, vajadzētu būt dienestiem, kuriem saskaņā ar Savienības vai dalībvalstu tiesību aktiem ir juridisks pienākums iegūt, saglabāt, novērtēt, kārtot, aprakstīt, paziņot, popularizēt, izplatīt ierakstus, kuriem ir pastāvīga vispārēja sabiedriska nozīme, un sniegt piekļuvi tiem. Dalībvalstīm turklāt vajadzētu būt pilnvarotām paredzēt turpmāku personas datu apstrādi arhivēšanas nolūkos, piemēram, nolūkā sniegt konkrētu informāciju saistībā ar politisko izturēšanos bijušo totalitāro valsts režīmu laikā, genocīdu, noziegumiem pret cilvēci, jo īpaši holokaustu, vai kara noziegumiem. |
| (159) | Where personal data are processed for scientific research purposes, this Regulation should also apply to that processing. For the purposes of this Regulation, the processing of personal data for scientific research purposes should be interpreted in a broad manner including for example technological development and demonstration, fundamental research, applied research and privately funded research. In addition, it should take into account the Union's objective under Article 179(1) TFEU of achieving a European Research Area. Scientific research purposes should also include studies conducted in the public interest in the area of public health. To meet the specificities of processing personal data for scientific research purposes, specific conditions should apply in particular as regards the publication or otherwise disclosure of personal data in the context of scientific research purposes. If the result of scientific research in particular in the health context gives reason for further measures in the interest of the data subject, the general rules of this Regulation should apply in view of those measures. | (159) | Ja personas datus apstrādā zinātniskās pētniecības nolūkos, šī regula būtu jāpiemēro arī minētajai apstrādei. Šajā regulā personas datu apstrāde zinātniskās pētniecības nolūkos būtu jāinterpretē plaši, ietverot, piemēram, tehnoloģiju attīstību un demonstrējumus, fundamentālos pētījumus, lietišķos pētījumus un privāti finansētus pētījumus. Turklāt tai būtu jāņem vērā Savienības mērķis izveidot Eiropas zinātniskās izpētes telpu saskaņā ar LESD 179. panta 1. punktu. Zinātniskās pētniecības nolūkos būtu jāiekļauj arī sabiedriskas nozīmes pētījumi sabiedrības veselības jomā. Lai ņemtu vērā īpatnības, kas piemīt personas datu apstrādei zinātniskās pētniecības nolūkos, būtu jāpiemēro konkrēti nosacījumi, jo īpaši attiecībā uz personas datu publicēšanu vai citādu izpaušanu saistībā ar zinātniskās pētniecības nolūkiem. Ja zinātniskās pētniecības rezultāts, jo īpaši saistībā ar veselību, dod iemeslu turpmākiem pasākumiem datu subjekta interesēs, tad saistībā ar minētajiem pasākumiem būtu jāpiemēro šīs regulas vispārējie noteikumi. |
| (160) | Where personal data are processed for historical research purposes, this Regulation should also apply to that processing. This should also include historical research and research for genealogical purposes, bearing in mind that this Regulation should not apply to deceased persons. | (160) | Ja personas datus apstrādā vēstures pētniecības nolūkos, šī regula būtu jāpiemēro arī minētajai apstrādei. Tajā būtu jāiekļauj arī vēstures pētniecība un izpēte ģenealoģiskos nolūkos, paturot prātā, ka šī regula nebūtu jāpiemēro mirušām personām. |
| (161) | For the purpose of consenting to the participation in scientific research activities in clinical trials, the relevant provisions of Regulation (EU) No 536/2014 of the European Parliament and of the Council (15) should apply. | (161) | Attiecībā uz piekrišanu līdzdalībai zinātniskās pētniecības darbībās, kas saistītas ar klīniskajām pārbaudēm, būtu jāpiemēro Eiropas Parlamenta un Padomes Regulas (ES) Nr. 536/2014 (15) attiecīgie noteikumi. |
| (162) | Where personal data are processed for statistical purposes, this Regulation should apply to that processing. Union or Member State law should, within the limits of this Regulation, determine statistical content, control of access, specifications for the processing of personal data for statistical purposes and appropriate measures to safeguard the rights and freedoms of the data subject and for ensuring statistical confidentiality. Statistical purposes mean any operation of collection and the processing of personal data necessary for statistical surveys or for the production of statistical results. Those statistical results may further be used for different purposes, including a scientific research purpose. The statistical purpose implies that the result of processing for statistical purposes is not personal data, but aggregate data, and that this result or the personal data are not used in support of measures or decisions regarding any particular natural person. | (162) | Ja personas datus apstrādā statistikas nolūkos, minētajai apstrādei būtu jāpiemēro šī regula. Savienības vai dalībvalstu tiesību aktos, ievērojot šajā regulā noteiktos ierobežojumus, būtu jānosaka statistikas saturs, piekļuves kontrole, specifikācijas personas datu apstrādei statistikas nolūkos un piemēroti pasākumi datu subjekta tiesību un brīvību aizsardzībai un statistikas konfidencialitātes nodrošināšanai. Statistikas nolūki ir jebkura tādu personas datu vākšanas un apstrādes darbība, kuri nepieciešami statistikas apsekojumiem vai statistikas rezultātu izstrādei. Minētos statistikas rezultātus var tālāk izmantot dažādiem nolūkiem, tostarp zinātniskās pētniecības nolūkā. Statistikas nolūks nozīmē, ka statistikas nolūkos veiktas apstrādes rezultāts nav personas dati, bet gan apkopoti dati un ka šo rezultātu vai personas datus neizmanto, lai pamatotu pasākumus vai lēmumus, kuri attiecas uz kādu konkrētu fizisku personu. |
| (163) | The confidential information which the Union and national statistical authorities collect for the production of official European and official national statistics should be protected. European statistics should be developed, produced and disseminated in accordance with the statistical principles as set out in Article 338(2) TFEU, while national statistics should also comply with Member State law. Regulation (EC) No 223/2009 of the European Parliament and of the Council (16) provides further specifications on statistical confidentiality for European statistics. | (163) | Būtu jāaizsargā konfidenciālā informācija, ko Savienības un valstu statistikas iestādes vāc oficiālās Eiropas statistikas un oficiālās valsts statistikas izveidei. Eiropas statistika būtu jāizstrādā, jāsagatavo un jāizplata saskaņā ar statistikas principiem, kas noteikti LESD 338. panta 2. punktā, vienlaicīgi valstu statistikai būtu jāatbilst arī dalībvalsts tiesību aktiem. Eiropas Parlamenta un Padomes Regula (EK) Nr. 223/2009 (16) paredz papildu precizējumus par statistikas konfidencialitāti attiecībā uz Eiropas statistiku. |
| (164) | As regards the powers of the supervisory authorities to obtain from the controller or processor access to personal data and access to their premises, Member States may adopt by law, within the limits of this Regulation, specific rules in order to safeguard the professional or other equivalent secrecy obligations, in so far as necessary to reconcile the right to the protection of personal data with an obligation of professional secrecy. This is without prejudice to existing Member State obligations to adopt rules on professional secrecy where required by Union law. | (164) | Attiecībā uz uzraudzības iestāžu pilnvarām panākt no pārziņa vai apstrādātāja piekļuvi personas datiem un piekļuvi to telpām dalībvalstis var, ievērojot šajā regulā noteiktos ierobežojumus, ar likumu pieņemt konkrētus noteikumus, kas aizsargā dienesta noslēpuma vai cita līdzvērtīga noslēpuma glabāšanas pienākumu, ciktāl tas nepieciešams, lai saglabātu līdzsvaru starp tiesībām uz personas datu aizsardzību un dienesta noslēpuma glabāšanas pienākumu. Tas neskar spēkā esošos dalībvalstu pienākumus pieņemt noteikumus par dienesta noslēpumu, ja Savienības tiesību aktos ir tāda prasība. |
| (165) | This Regulation respects and does not prejudice the status under existing constitutional law of churches and religious associations or communities in the Member States, as recognised in Article 17 TFEU. | (165) | Šajā regulā tiek ievērots un nav skarts baznīcu un reliģisko apvienību vai kopienu statuss, kas tām saskaņā ar spēkā esošajiem konstitucionālo tiesību aktiem ir piešķirts dalībvalstīs, kā tas atzīts LESD 17. pantā. |
| (166) | In order to fulfil the objectives of this Regulation, namely to protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data and to ensure the free movement of personal data within the Union, the power to adopt acts in accordance with Article 290 TFEU should be delegated to the Commission. In particular, delegated acts should be adopted in respect of criteria and requirements for certification mechanisms, information to be presented by standardised icons and procedures for providing such icons. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level. The Commission, when preparing and drawing-up delegated acts, should ensure a simultaneous, timely and appropriate transmission of relevant documents to the European Parliament and to the Council. | (166) | Lai sasniegtu šīs regulas mērķus, proti, aizsargātu fizisku personu pamattiesības un pamatbrīvības, jo īpaši tiesības uz personas datu aizsardzību, un nodrošinātu personas datu brīvu apriti Savienībā, Komisijai būtu jādeleģē pilnvaras pieņemt aktus saskaņā ar LESD 290. pantu. Jo īpaši deleģētie akti būtu jāpieņem attiecībā uz kritērijiem un prasībām sertifikācijas mehānismiem, informāciju, kas sniedzama, izmantojot standartizētas ikonas, un procedūrām šādu ikonu nodrošināšanai. Ir īpaši būtiski, lai Komisija, veicot sagatavošanas darbus, rīkotu atbilstīgas apspriešanās, tostarp ekspertu līmenī. Komisijai, sagatavojot un izstrādājot deleģētos aktus, būtu jānodrošina vienlaicīga, savlaicīga un atbilstīga attiecīgo dokumentu nosūtīšana Eiropas Parlamentam un Padomei. |
| (167) | In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission when provided for by this Regulation. Those powers should be exercised in accordance with Regulation (EU) No 182/2011. In that context, the Commission should consider specific measures for micro, small and medium-sized enterprises. | (167) | Lai nodrošinātu vienādus nosacījumus šīs regulas īstenošanai, Komisijai būtu jāpiešķir īstenošanas pilnvaras, ja tas paredzēts šajā regulā. Minētās pilnvaras būtu jāizmanto saskaņā ar Regulu (ES) Nr. 182/2011. Šajā sakarā Komisijai būtu jāapsver īpaši pasākumi mikrouzņēmumiem, maziem un vidējiem uzņēmumiem. |
| (168) | The examination procedure should be used for the adoption of implementing acts on standard contractual clauses between controllers and processors and between processors; codes of conduct; technical standards and mechanisms for certification; the adequate level of protection afforded by a third country, a territory or a specified sector within that third country, or an international organisation; standard protection clauses; formats and procedures for the exchange of information by electronic means between controllers, processors and supervisory authorities for binding corporate rules; mutual assistance; and arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board. | (168) | Pārbaudes procedūra būtu jāizmanto, lai pieņemtu īstenošanas aktus par līguma standartklauzulām starp pārziņiem un apstrādātājiem un starp apstrādātājiem; par rīcības kodeksiem; sertifikācijas tehniskajiem standartiem un mehānismiem; pietiekamu aizsardzības līmeni, ko nodrošina trešā valsts, kāda teritorija, vai konkrēts sektors minētajā trešā valstī, vai starptautiska organizācija; standarta aizsardzības klauzulas; formātiem un procedūrām elektroniskai informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm attiecībā uz saistošiem uzņēmuma noteikumiem; savstarpēju palīdzību; un kārtību elektroniskai informācijas apmaiņai uzraudzības iestāžu starpā un starp uzraudzības iestādēm un kolēģiju. |
| (169) | The Commission should adopt immediately applicable implementing acts where available evidence reveals that a third country, a territory or a specified sector within that third country, or an international organisation does not ensure an adequate level of protection, and imperative grounds of urgency so require. | (169) | Komisijai būtu jāpieņem tūlītēji piemērojami īstenošanas akti, ja pieejamie pierādījumi liecina, ka trešā valsts, kāda teritorija, vai konkrēts sektors minētajā trešā valstī, vai starptautiska organizācija nenodrošina pietiekamu aizsardzības līmeni, un tas ir nepieciešams nenovēršamu steidzamu iemeslu dēļ. |
| (170) | Since the objective of this Regulation, namely to ensure an equivalent level of protection of natural persons and the free flow of personal data throughout the Union, cannot be sufficiently achieved by the Member States and can rather, by reason of the scale or effects of the action, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union (TEU). In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve that objective. | (170) | Ņemot vērā to, ka šīs regulas mērķi, proti, nodrošināt fiziskām personām vienādu aizsardzības līmeni un brīvu personas datu apriti visā Savienībā, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, un rīcības mēroga vai iedarbības dēļ tos var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienības (LES) 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu, šajā regulā parfedz vienīgi tos pasākumus, kas ir vajadzīgi minētā mērķa sasniegšanai. |
| (171) | Directive 95/46/EC should be repealed by this Regulation. Processing already under way on the date of application of this Regulation should be brought into conformity with this Regulation within the period of two years after which this Regulation enters into force. Where processing is based on consent pursuant to Directive 95/46/EC, it is not necessary for the data subject to give his or her consent again if the manner in which the consent has been given is in line with the conditions of this Regulation, so as to allow the controller to continue such processing after the date of application of this Regulation. Commission decisions adopted and authorisations by supervisory authorities based on Directive 95/46/EC remain in force until amended, replaced or repealed. | (171) | Ar šo regulu būtu jāatceļ Direktīva 95/46/EK. Apstrāde, kas jau tiek veikta dienā, kad šo regulu sāk piemērot, būtu jāsaskaņo ar šo regulu divos gados pēc šīs regulas spēkā stāšanās dienas. Ja apstrāde pamatojas uz piekrišanu, ievērojot Direktīvu 95/46/EK, datu subjektam nav vēlreiz jādod sava piekrišana, ja veids, kādā piekrišana ir sniegta, atbilst šīs regulas nosacījumiem, lai tādējādi ļautu pārzinim turpināt šādu apstrādi pēc šīs regulas piemērošanas dienas. Saskaņā ar Direktīvu 95/46/EK pieņemtie Komisijas lēmumi un uzraudzības iestāžu izsniegtās atļaujas paliek spēkā līdz brīdim, kad tās tiek grozītas, aizstātas vai atceltas. |
| (172) | The European Data Protection Supervisor was consulted in accordance with Article 28(2) of Regulation (EC) No 45/2001 and delivered an opinion on 7 March 2012 (17). | (172) | Saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas sniedza atzinumu 2012. gada 7. martā (17). |
| (173) | This Regulation should apply to all matters concerning the protection of fundamental rights and freedoms vis-à-vis the processing of personal data which are not subject to specific obligations with the same objective set out in Directive 2002/58/EC of the European Parliament and of the Council (18), including the obligations on the controller and the rights of natural persons. In order to clarify the relationship between this Regulation and Directive 2002/58/EC, that Directive should be amended accordingly. Once this Regulation is adopted, Directive 2002/58/EC should be reviewed in particular in order to ensure consistency with this Regulation, | (173) | Šī regula būtu jāpiemēro visiem jautājumiem saistībā ar pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi, kuriem nav piemērojami konkrētie pienākumi ar tādu pašu mērķi, kā noteikts Eiropas Parlamenta un Padomes Direktīvā 2002/58/EK (18), tostarp pārziņa pienākumiem un fizisku personu tiesībām. Lai precizētu saikni starp šo regulu un Direktīvu 2002/58/EK, minētā direktīva būtu attiecīgi jāgroza. Pēc šīs regulas pieņemšanas būtu jāpārskata Direktīva 2002/58/EK, jo īpaši, lai nodrošinātu atbilsmi šai regulai, |
| HAVE ADOPTED THIS REGULATION: | IR PIEŅĒMUŠI ŠO REGULU. |
| CHAPTER I | I NODAĻA |
| General provisions | Vispārīgi noteikumi |
| Article 1 | 1. pants |
| Subject-matter and objectives | Priekšmets un mērķi |
| 1. This Regulation lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal data. | 1. Šī regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei. |
| 2. This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data. | 2. Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību. |
| 3. The free movement of personal data within the Union shall be neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. | 3. Personas datu brīvu apriti Savienībā neierobežo un neaizliedz tādu iemeslu dēļ, kas saistīti ar fizisku personu aizsardzību attiecībā uz personas datu apstrādi. |
| Article 2 | 2. pants |
| Material scope | Materiālā darbības joma |
| 1. This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. | 1. Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem. |
| 2. This Regulation does not apply to the processing of personal data: | 2. Šo regulu nepiemēro personas datu apstrādei: |
| (a) | in the course of an activity which falls outside the scope of Union law; | a) | tādas darbības gaitā, kas neietilpst Savienības tiesību aktu darbības jomā; |
| (b) | by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU; | b) | ko īsteno dalībvalstis, veicot darbības, kas ir LES V sadaļas 2. nodaļas darbības jomā; |
| (c) | by a natural person in the course of a purely personal or household activity; | c) | ko veic fiziska persona tikai personiska vai mājsaimnieciska pasākuma gaitā; |
| (d) | by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. | d) | ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu. |
| 3. For the processing of personal data by the Union institutions, bodies, offices and agencies, Regulation (EC) No 45/2001 applies. Regulation (EC) No 45/2001 and other Union legal acts applicable to such processing of personal data shall be adapted to the principles and rules of this Regulation in accordance with Article 98. | 3. Personas datu apstrādei Savienības iestādēs, struktūrās, birojos un aģentūrās piemēro Regulu (EK) Nr. 45/2001. Regulu (EK) Nr. 45/2001 un citus Savienības tiesību aktus, ko piemēro šādai personas datu apstrādei, pielāgo šīs regulas principiem un noteikumiem saskaņā ar 98. pantu. |
| 4. This Regulation shall be without prejudice to the application of Directive 2000/31/EC, in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive. | 4. Šī regula neskar Direktīvas 2000/31/EK piemērošanu, jo īpaši attiecībā uz minētās direktīvas 12.–15. panta noteikumiem par starpnieku pakalpojumu sniedzēju saistībām. |
| Article 3 | 3. pants |
| Territorial scope | Teritoriālā darbības joma |
| 1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not. | 1. Šo regulu piemēro personas datu apstrādei saistībā ar darbībām, ko veic pārziņa vai apstrādātāja uzņēmējdarbības vietā Savienībā, neatkarīgi no tā, vai apstrāde notiek vai nenotiek Savienībā. |
| 2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: | 2. Šo regulu piemēro Savienībā esošu datu subjektu personas datu apstrādei, ko veic pārzinis vai apstrādātājs, kas neveic uzņēmējdarbību Savienībā, ja apstrādes darbības ir saistītas ar: |
| (a) | the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or | a) | preču vai pakalpojumu piedāvāšanu šādiem datu subjektiem Savienībā, neatkarīgi no tā, vai no datu subjekta tiek prasīta samaksa; vai |
| (b) | the monitoring of their behaviour as far as their behaviour takes place within the Union. | b) | viņu uzvedības novērošanu, ciktāl viņu uzvedība notiek Savienībā. |
| 3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law. | 3. Šo regulu piemēro personas datu apstrādei, ko veic pārzinis, kas neveic uzņēmējdarbību Savienībā, bet vietā, kur saskaņā ar starptautiskajām publiskajām tiesībām ir piemērojamas dalībvalsts tiesības. |
| Article 4 | 4. pants |
| Definitions | Definīcijas |
| For the purposes of this Regulation: | Šajā regulā: |
| (1) | ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; | 1) | “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem; |
| (2) | ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction; | 2) | “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana; |
| (3) | ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future; | 3) | “apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē; |
| (4) | ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements; | 4) | “profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību, atrašanās vietu vai pārvietošanos; |
| (5) | ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person; | 5) | “pseidonimizācija” ir personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisku personu; |
| (6) | ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis; | 6) | “kartotēka” ir jebkurš strukturēts personas datu kopums, kas ir pieejams saskaņā ar konkrētiem kritērijiem, neatkarīgi no tā, vai datu kopums ir centralizēts, decentralizēts vai izkliedēts, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju; |
| (7) | ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law; | 7) | “pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos; |
| (8) | ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller; | 8) | “apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus; |
| (9) | ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing; | 9) | “saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem; |
| (10) | ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data; | 10) | “trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus; |
| (11) | ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her; | 11) | datu subjekta “piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei; |
| (12) | ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed; | 12) | “personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem; |
| (13) | ‘genetic data’ means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question; | 13) | “ģenētiskie dati” ir personas dati, kas attiecas uz fiziskas personas pārmantotajām vai iegūtajām ģenētiskajām pazīmēm, sniedz unikālu informāciju par minētās fiziskās personas fizioloģiju vai veselību un kas izriet jo īpaši no attiecīgās fiziskās personas bioloģiskā parauga analīzes; |
| (14) | ‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data; | 14) | “biometriskie dati” ir personas dati pēc specifiskas tehniskas apstrādes, kuri attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības pazīmēm, kas ļauj veikt vai apstiprina minētās fiziskās personas unikālu identifikāciju, piemēram, sejas attēli vai daktiloskopijas dati; |
| (15) | ‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status; | 15) | “veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli; |
| (16) | ‘main establishment’ means: | (a) | as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment; | (b) | as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation; | 16) | “galvenā uzņēmējdarbības vieta”: | a) | attiecībā uz pārzini, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, ja vien lēmumi par personas datu apstrādes nolūkiem un līdzekļiem netiek pieņemti citā pārziņa uzņēmējdarbības vietā Savienībā un ja vien šai citai uzņēmējdarbības vietai nav šādu lēmumu īstenošanas pilnvaru – tādā gadījumā par galveno uzņēmējdarbības vietu uzskata to uzņēmējdarbības vietu, kurā pieņemti šādi lēmumi; | b) | attiecībā uz apstrādātāju, kura uzņēmējdarbības vietas atrodas vairāk nekā vienā dalībvalstī – tā galvenās pārvaldes atrašanās vieta Savienībā, vai, ja apstrādātājam nav galvenās pārvaldes Savienībā, – apstrādātāja uzņēmējdarbības vieta Savienībā, kur notiek galvenās apstrādes darbības saistībā ar apstrādātāja uzņēmējdarbības vietas darbībām, ciktāl uz apstrādātāju attiecas šajā regulā paredzētie konkrētie pienākumi; |
| (17) | ‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article 27, represents the controller or processor with regard to their respective obligations under this Regulation; | 17) | “pārstāvis” ir fiziska vai juridiska persona, kura veic uzņēmējdarbību Savienībā un kuru pārzinis vai apstrādātājs ir iecēlis rakstiski saskaņā ar 27. pantu, un kura pārstāv pārzini vai apstrādātāju saistībā ar to attiecīgajiem pienākumiem, kas paredzēti šajā regulā; |
| (18) | ‘enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity; | 18) | “uzņēmums” ir fiziska vai juridiska persona, kas veic saimniecisku darbību, neatkarīgi no tās juridiskā statusa, tostarp partnerības vai apvienības, kas regulāri veic saimniecisku darbību; |
| (19) | ‘group of undertakings’ means a controlling undertaking and its controlled undertakings; | 19) | “uzņēmumu grupa” ir kontrolējošais uzņēmums un tā kontrolētie uzņēmumi; |
| (20) | ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity; | 20) | “saistošie uzņēmuma noteikumi” ir personas datu aizsardzības vadlīnijas, ko stingri ievēro pārzinis vai apstrādātājs, kas veic uzņēmējdarbību dalībvalsts teritorijā, attiecībā uz personas datu nosūtīšanu vai vairākkārtēju nosūtīšanu pārzinim vai apstrādātājam vienā vai vairākās trešās valstīs uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā; |
| (21) | ‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51; | 21) | “uzraudzības iestāde” ir neatkarīga publiska iestāde, ko dalībvalsts izveidojusi, ievērojot51. pantu; |
| (22) | ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because: | (a) | the controller or processor is established on the territory of the Member State of that supervisory authority; | (b) | data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or | (c) | a complaint has been lodged with that supervisory authority; | 22) | “attiecīgā uzraudzības iestāde” ir uzraudzības iestāde, uz kuru personas datu apstrāde attiecas tāpēc, ka: | a) | pārzinis vai apstrādātājs veic uzņēmējdarbību minētās uzraudzības iestādes dalībvalsts teritorijā; | b) | apstrāde būtiski ietekmē vai var būtiski ietekmēt datu subjektus, kas dzīvo minētās uzraudzības iestādes dalībvalstī; vai | c) | sūdzība ir iesniegta minētajai uzraudzības iestādei; |
| (23) | ‘cross-border processing’ means either: | (a) | processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or | (b) | processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State. | 23) | “pārrobežu apstrāde” ir vai nu: | a) | personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja uzņēmējdarbības vietās vairāk nekā vienā dalībvalstī, ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairāk nekā vienā dalībvalstī; vai | b) | personas datu apstrāde, kas notiek saistībā ar darbībām, kuras Savienībā veic pārziņa vai apstrādātāja vienīgajā uzņēmējdarbības vietā, bet kas būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī; |
| (24) | ‘relevant and reasoned objection’ means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union; | 24) | “būtisks un motivēts iebildums” ir iebildums lēmuma projektam par to, vai šī regula ir pārkāpta, vai par to, vai iecerētā darbība attiecībā uz pārzini vai apstrādātāju atbilst šai regulai, skaidri parādot to risku nozīmīgumu, ko lēmuma projekts rada datu subjektu pamattiesībām un pamatbrīvībām un attiecīgā gadījumā – personas datu brīvai apritei Savienībā; |
| (25) | ‘information society service’ means a service as defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council (19); | 25) | “informācijas sabiedrības pakalpojums” ir pakalpojums, kā definēts Eiropas Parlamenta un Padomes Direktīvas (ES) 2015/1535 (19) 1. panta 1. punkta b) apakšpunktā; |
| (26) | ‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries. | 26) | “starptautiska organizācija” ir organizācija un tai pakārtotas struktūras, kas ir starptautisko publisko tiesību subjekti, vai jebkura cita struktūra, kas ir izveidota ar divu vai vairāku valstu nolīgumu vai uz tā pamata. |
| CHAPTER II | II NODAĻA |
| Principles | Principi |
| Article 5 | 5. pants |
| Principles relating to processing of personal data | Personas datu apstrādes principi |
| 1. Personal data shall be: | 1. Personas dati: |
| (a) | processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); | a) | tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”); |
| (b) | collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’); | b) | tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu nav uzskatāma par nesavietojamu ar sākotnējiem nolūkiem (“nolūka ierobežojumi”); |
| (c) | adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’); | c) | ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”); |
| (d) | accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’); | d) | ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”); |
| (e) | kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’); | e) | tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības (“glabāšanas ierobežojums”); |
| (f) | processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’). | f) | tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”). |
| 2. The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’). | 2. Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”). |
| Article 6 | 6. pants |
| Lawfulness of processing | Apstrādes likumīgums |
| 1. Processing shall be lawful only if and to the extent that at least one of the following applies: | 1. Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem: |
| (a) | the data subject has given consent to the processing of his or her personal data for one or more specific purposes; | a) | datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem; |
| (b) | processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; | b) | apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas; |
| (c) | processing is necessary for compliance with a legal obligation to which the controller is subject; | c) | apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu; |
| (d) | processing is necessary in order to protect the vital interests of the data subject or of another natural person; | d) | apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses; |
| (e) | processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; | e) | apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras; |
| (f) | processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. | f) | apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns. |
| Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks. | Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus. |
| 2. Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to processing for compliance with points (c) and (e) of paragraph 1 by determining more precisely specific requirements for the processing and other measures to ensure lawful and fair processing including for other specific processing situations as provided for in Chapter IX. | 2. Dalībvalstis var paturēt spēkā vai ieviest konkrētākus noteikumus, lai šīs regulas noteikumu piemērošanu pielāgotu attiecībā uz apstrādi, ko veic, lai ievērotu 1. punkta c) un e) apakšpunktu, nosakot precīzāk konkrētas prasības apstrādei un citus pasākumus, ar ko nodrošina likumīgu un godprātīgu apstrādi, tostarp citās konkrētās apstrādes situācijās, kas paredzētas IX nodaļā. |
| 3. The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid down by: | 3. Šā panta 1. punkta c) un e) apakšpunktā minēto apstrādes pamatu nosaka ar: |
| (a) | Union law; or | a) | Savienības tiesību aktiem; vai |
| (b) | Member State law to which the controller is subject. | b) | dalībvalsts tiesību aktiem, kas piemērojami pārzinim. |
| The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued. | Apstrādes nolūku nosaka minētajā juridiskajā pamatā vai – attiecībā uz 1. punkta e) apakšpunktā minēto apstrādi – tas ir vajadzīgs, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. Minētajā juridiskajā pamatā var būt ietverti konkrēti noteikumi, lai pielāgotu šīs regulas noteikumu piemērošanu, cita starpā vispārēji nosacījumi, kas reglamentē pārziņa īstenotu apstrādes likumību; apstrādājamo datu veidi; attiecīgie datu subjekti; vienības, kurām personas dati var tikt izpausti, un mērķi, kādiem tie var tikt izpausti; apstrādes nolūka ierobežojumi; glabāšanas termiņi; un apstrādes darbības un apstrādes procedūras, tostarp pasākumi, lai nodrošinātu likumīgu un godprātīgu apstrādi, piemēram, citās konkrētās datu apstrādes situācijās, kas paredzētas IX nodaļā. Savienības vai dalībvalsts tiesību akti atbilst sabiedrības interešu mērķim un ir samērīgi ar izvirzīto leģitīmo mērķi. |
| 4. Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject's consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia: | 4. Ja apstrāde citā nolūkā nekā tajā, kādā personas dati tika vākti, nav balstīta uz datu subjekta piekrišanu vai uz Savienības vai dalībvalsts tiesību aktiem, kas demokrātiskā sabiedrībā ir vajadzīgs un samērīgs pasākums, lai aizsargātu 23. panta 1. punktā minētos mērķus, pārzinis, lai pārliecinātos, vai apstrāde citā nolūkā ir savietojama ar nolūku, kādā personas dati sākotnēji tika vākti, cita starpā ņem vērā: |
| (a) | any link between the purposes for which the personal data have been collected and the purposes of the intended further processing; | a) | jebkuru saikni starp nolūkiem, kādos personas dati ir vākti, un paredzētās turpmākās apstrādes nolūkiem; |
| (b) | the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller; | b) | kontekstu, kādā personas dati ir vākti, jo īpaši saistībā ar datu subjektu un pārziņa attiecībām; |
| (c) | the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10; | c) | personas datu raksturu, jo īpaši to, vai ir apstrādātas īpašas personas datu kategorijas, ievērojot 9. pantu, vai to, vai ir apstrādāti personas dati, kas attiecas uz sodāmību un pārkāpumiem, ievērojot 10. pantu; |
| (d) | the possible consequences of the intended further processing for data subjects; | d) | paredzētās turpmākās apstrādes iespējamās sekas datu subjektiem; |
| (e) | the existence of appropriate safeguards, which may include encryption or pseudonymisation. | e) | atbilstošu garantiju esamību, kas var ietvert šifrēšanu vai pseidonimizāciju. |
| Article 7 | 7. pants |
| Conditions for consent | Nosacījumi piekrišanai |
| 1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data. | 1. Ja apstrāde pamatojas uz piekrišanu, pārzinim ir jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei. |
| 2. If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding. | 2. Ja datu subjekta piekrišanu dod saistībā ar rakstisku deklarāciju, kas attiecas arī uz citiem jautājumiem, lūgumu dot piekrišanu norāda tā, lai to varētu skaidri atšķirt no citiem jautājumiem, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu. Jebkura šādas deklarācijas daļa, kura ir šīs regulas pārkāpums, nav saistoša. |
| 3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent. | 3. Datu subjektam ir tiesības atsaukt savu piekrišanu jebkurā laikā. Piekrišanas atsaukums neietekmē apstrādes likumību, kas pamatojas uz piekrišanu pirms atsaukuma. Datu subjektam jābūt par to informētam, pirms viņš dod savu piekrišanu. Atsaukt piekrišanu ir tikpat viegli kā to dot. |
| 4. When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract. | 4. Novērtējot to, vai piekrišana ir dota brīvi, maksimāli ņem vērā to, vai cita starpā līguma izpilde, tostarp pakalpojuma sniegšana, ir atkarīga no piekrišanas tādai personas datu apstrādei, kura nav nepieciešama minētā līguma izpildei. |
| Article 8 | 8. pants |
| Conditions applicable to child's consent in relation to information society services | Nosacījumi, kas piemērojami bērna piekrišanai attiecībā uz informācijas sabiedrības pakalpojumiem |
| 1. Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child. | 1. Ja attiecībā uz informācijas sabiedrības pakalpojumu tiešu sniegšanu bērnam ir piemērojams 6. panta 1. punkta a) apakšpunkts, bērna personas datu apstrāde ir likumīga, ja bērns ir vismaz 16 gadus vecs. Ja bērns ir jaunāks par 16 gadiem, šāda apstrāde ir likumīga tikai tad un tādā apmērā, ja piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu. |
| Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years. | Dalībvalstis minētajiem nolūkiem ar likumu var paredzēt jaunāku vecumu, ar noteikumu, ka šāds jaunāks vecums nav mazāks par 13 gadiem. |
| 2. The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology. | 2. Pārzinis pieliek saprātīgas pūles, lai šādos gadījumos pārbaudītu, vai piekrišanu ir devusi vai apstiprinājusi persona, kurai ir vecāku atbildība par bērnu, ņemot vērā pieejamās tehnoloģijas. |
| 3. Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child. | 3. Šā panta 1. punkts neietekmē dalībvalstu vispārējās līgumtiesības, piemēram, noteikumus par attiecībā uz bērnu noslēgta līguma spēkā esību, noslēgšanu vai sekām. |
| Article 9 | 9. pants |
| Processing of special categories of personal data | Īpašu kategoriju personas datu apstrāde |
| 1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited. | 1. Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde. |
| 2. Paragraph 1 shall not apply if one of the following applies: | 2. Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem: |
| (a) | the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject; | a) | datu subjekts ir devis nepārprotamu piekrišanu šo personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem, izņemot, ja Savienības vai dalībvalsts tiesību akti paredz, ka 1. punktā minēto aizliegumu datu subjekts nevar atcelt; |
| (b) | processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject; | b) | apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā, ciktāl to pieļauj Savienības vai dalībvalsts tiesību akti vai koplīgums atbilstīgi dalībvalsts tiesību aktiem, paredzot piemērotas garantijas datu subjekta pamattiesībām un interesēm; |
| (c) | processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent; | c) | apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu; |
| (d) | processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects; | d) | veicot leģitīmas darbības un nodrošinot atbilstošas garantijas, apstrādi veic fonds, apvienība vai jebkura cita bezpeļņas struktūra, kas to dara ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi un ar nosacījumu, ka apstrāde attiecas tikai uz šīs struktūras locekļiem vai bijušajiem locekļiem, vai personām, kas ar šo struktūru uztur regulārus sakarus saistībā ar tās nolūkiem, un ka bez datu subjekta piekrišanas personas datus neizpauž ārpus minētās struktūras; |
| (e) | processing relates to personal data which are manifestly made public by the data subject; | e) | apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis; |
| (f) | processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity; | f) | apstrāde ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai ikreiz, kad tiesas pilda savus uzdevumus; |
| (g) | processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject; | g) | apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgas izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai; |
| (h) | processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3; | h) | apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas; |
| (i) | processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy; | i) | apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā, piemēram, aizsardzībai pret nopietniem pārrobežu draudiem veselībai vai augstu kvalitātes un drošības standartu nodrošināšanai, cita starpā zālēm vai medicīniskām ierīcēm, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas paredz atbilstošus un konkrētus pasākumus datu subjekta tiesību un brīvību, jo īpaši dienesta noslēpuma, aizsardzībai; |
| (j) | processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject. | j) | apstrāde ir vajadzīga arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgi izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai. |
| 3. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies. | 3. Šā panta 1. punktā minētos personas datus var apstrādāt 2. punkta h) apakšpunktā minētajos nolūkos, ja šos datus apstrādā profesionālis, uz kuru saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma ievērošanas pienākums, vai ja tos apstrādā šāda profesionāļa atbildībā; vai cita persona, uz kuru arī attiecas pienākums ievērot dienesta noslēpumu saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem. |
| 4. Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. | 4. Dalībvalstis var saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi. |
| Article 10 | 10. pants |
| Processing of personal data relating to criminal convictions and offences | Personas datu par sodāmību un pārkāpumiem apstrāde |
| Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority. | Personas datu apstrādi par sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem, pamatojoties uz 6. panta 1. punktu, veic tikai oficiālas iestādes kontrolē vai tad, ja apstrādi atļauj Savienības vai dalībvalsts tiesību akti, paredzot atbilstošas garantijas datu subjektu tiesībām un brīvībām. Jebkādu visaptverošu sodāmības reģistru uzglabā tikai oficiālas iestādes kontrolē. |
| Article 11 | 11. pants |
| Processing which does not require identification | Apstrāde, kurai nav nepieciešama identifikācija |
| 1. If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation. | 1. Ja nolūki, kādos pārzinis apstrādā personas datus, neprasa vai vairs neprasa pārzinim identificēt datu subjektu, pārzinim nav pienākuma saglabāt, iegūt vai apstrādāt papildu informāciju, lai identificētu datu subjektu, ja vienīgais nolūks ir ievērot šo regulu. |
| 2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification. | 2. Ja šā panta 1. punktā minētajos gadījumos pārzinis spēj uzskatāmi parādīt, ka viņš nevar identificēt datu subjektu, pārzinis, ja iespējams, attiecīgi informē datu subjektu. Šādos gadījumos 15.–20. pantu nepiemēro, izņemot gadījumos, kad datu subjekts, lai īstenotu savas tiesības saskaņā ar minētajiem pantiem, sniedz papildu informāciju, kas ļauj viņu identificēt. |
| CHAPTER III | III NODAĻA |
| Rights of the data subject | Datu subjekta tiesības |
| Section 1 | 1. iedaļa |
| Transparency and modalities | Pārredzamība un izmantošanas kārtība |
| Article 12 | 12. pants |
| Transparent information, communication and modalities for the exercise of the rights of the data subject | Pārredzama informācija, saziņa un datu subjekta tiesību īstenošanas kārtība |
| 1. The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child. The information shall be provided in writing, or by other means, including, where appropriate, by electronic means. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means. | 1. Pārzinis veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu 13. un 14. pantā minēto informāciju un nodrošinātu visu 15.–22. pantā un 34. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā. |
| 2. The controller shall facilitate the exercise of data subject rights under Articles 15 to 22. In the cases referred to in Article 11(2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 15 to 22, unless the controller demonstrates that it is not in a position to identify the data subject. | 2. Pārzinis veicina datu subjekta tiesību īstenošanu saskaņā ar 15.–22. pantu. Regulas 11. panta 2. punktā minētajos gadījumos pārzinis neatsakās rīkoties pēc datu subjekta pieprasījuma par savu tiesību īstenošanu saskaņā ar 15.–22. pantu, izņemot gadījumus, kad pārzinis uzskatāmi parāda, ka nespēj identificēt datu subjektu. |
| 3. The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject. | 3. Pārzinis bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu informē par darbību, kas pēc pieprasījuma veikta saskaņā ar 15.–22. pantu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Pārzinis informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi. |
| 4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy. | 4. Ja pārzinis neveic darbību, ko pieprasījis datu subjekts, pārzinis bez kavēšanās un vēlākais mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par darbības neveikšanas iemesliem un par iespēju iesniegt sūdzību uzraudzības iestādei un vērsties tiesā. |
| 5. Information provided under Articles 13 and 14 and any communication and any actions taken under Articles 15 to 22 and 34 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either: | 5. Informācija, ko sniedz saskaņā ar 13. un 14. pantu, un visa saziņa un visas darbības, ko īsteno saskaņā ar 15.–22. pantu un 34. pantu, ir bezmaksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, pārzinis var vai nu: |
| (a) | charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested; or | a) | pieprasīt saprātīgu maksu, ņemot vērā administratīvās izmaksas, kas saistītas ar informācijas vai saziņas nodrošināšanu vai pieprasītās darbības veikšanu; vai arī |
| (b) | refuse to act on the request. | b) | atteikties izpildīt pieprasījumu. |
| The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request. | Pārzinim ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs. |
| 6. Without prejudice to Article 11, where the controller has reasonable doubts concerning the identity of the natural person making the request referred to in Articles 15 to 21, the controller may request the provision of additional information necessary to confirm the identity of the data subject. | 6. Neskarot 11. pantu – ja pārzinim ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz 15.–21. pantā minēto pieprasījumu, pārzinis var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai. |
| 7. The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable. | 7. Informāciju, kas datu subjektiem sniedzama, ievērojot 13. un 14. pantu, var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tās ir mašīnlasāmas. |
| 8. The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of determining the information to be presented by the icons and the procedures for providing standardised icons. | 8. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 92. pantu, lai noteiktu informāciju, kas sniedzama, izmantojot ikonas, un procedūras standartizētu ikonu nodrošināšanai. |
| Section 2 | 2. iedaļa |
| Information and access to personal data | Informācija un piekļuve personas datiem |
| Article 13 | 13. pants |
| Information to be provided where personal data are collected from the data subject | Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta |
| 1. Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when personal data are obtained, provide the data subject with all of the following information: | 1. Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju: |
| (a) | the identity and the contact details of the controller and, where applicable, of the controller's representative; | a) | pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija; |
| (b) | the contact details of the data protection officer, where applicable; | b) | attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija; |
| (c) | the purposes of the processing for which the personal data are intended as well as the legal basis for the processing; | c) | apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats; |
| (d) | where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party; | d) | pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu; |
| (e) | the recipients or categories of recipients of the personal data, if any; | e) | personas datu saņēmēji vai saņēmēju kategorijas, ja tādi ir; |
| (f) | where applicable, the fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available. | f) | attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus uz trešo valsti vai starptautisku organizāciju, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 46. vai 47. pantā, vai 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami; |
| 2. In addition to the information referred to in paragraph 1, the controller shall, at the time when personal data are obtained, provide the data subject with the following further information necessary to ensure fair and transparent processing: | 2. Papildus 1. punktā minētajai informācijai pārzinis personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi: |
| (a) | the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period; | a) | laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai; |
| (b) | the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability; | b) | tas, ka pastāv tiesības pieprasīt pārzinim piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību; |
| (c) | where the processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal; | c) | ja apstrāde pamatojas uz 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana; |
| (d) | the right to lodge a complaint with a supervisory authority; | d) | tiesības iesniegt sūdzību uzraudzības iestādei; |
| (e) | whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data; | e) | informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu, vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti; |
| (f) | the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. | f) | tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu. |
| 3. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were collected, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2. | 3. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā. |
| 4. Paragraphs 1, 2 and 3 shall not apply where and insofar as the data subject already has the information. | 4. Šā panta 1., 2. un 3. punktu nepiemēro, ja un ciktāl datu subjekta rīcībā jau ir attiecīgā informācija. |
| Article 14 | 14. pants |
| Information to be provided where personal data have not been obtained from the data subject | Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta |
| 1. Where personal data have not been obtained from the data subject, the controller shall provide the data subject with the following information: | 1. Ja personas dati nav iegūti no datu subjekta, pārzinis datu subjektam sniedz šādu informāciju: |
| (a) | the identity and the contact details of the controller and, where applicable, of the controller's representative; | a) | pārziņa un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija; |
| (b) | the contact details of the data protection officer, where applicable; | b) | attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija; |
| (c) | the purposes of the processing for which the personal data are intended as well as the legal basis for the processing; | c) | apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats; |
| (d) | the categories of personal data concerned; | d) | attiecīgo personas datu kategorijas; |
| (e) | the recipients or categories of recipients of the personal data, if any; | e) | personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir; |
| (f) | where applicable, that the controller intends to transfer personal data to a recipient in a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means to obtain a copy of them or where they have been made available. | f) | attiecīgā gadījumā – informācija, ka pārzinis paredz nosūtīt personas datus saņēmējam trešā valstī vai starptautiskai organizācijai, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – 46. vai 47. pantā, vai 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami. |
| 2. In addition to the information referred to in paragraph 1, the controller shall provide the data subject with the following information necessary to ensure fair and transparent processing in respect of the data subject: | 2. Papildus 1. punktā minētajai informācijai, pārzinis datu subjektam sniedz turpmāk norādīto informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu: |
| (a) | the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period; | a) | laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai; |
| (b) | where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party; | b) | pārziņa vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz 6. panta 1. punkta f) apakšpunktu; |
| (c) | the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject and to object to processing as well as the right to data portability; | c) | tas, ka pastāv tiesības pieprasīt no pārziņa piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu un tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību; |
| (d) | where processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal; | d) | ja apstrāde pamatojas uz 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana; |
| (e) | the right to lodge a complaint with a supervisory authority; | e) | tiesības iesniegt sūdzību uzraudzības iestādei; |
| (f) | from which source the personal data originate, and if applicable, whether it came from publicly accessible sources; | f) | informācija par to, no kāda avota personas dati ir iegūti, un – attiecīgā gadījumā – informācija par to, vai dati iegūti no publiski pieejamiem avotiem; |
| (g) | the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. | g) | tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu. |
| 3. The controller shall provide the information referred to in paragraphs 1 and 2: | 3. Pārzinis 1. un 2. punktā minēto informāciju sniedz: |
| (a) | within a reasonable period after obtaining the personal data, but at the latest within one month, having regard to the specific circumstances in which the personal data are processed; | a) | saprātīgā termiņā pēc personas datu iegūšanas, bet vēlākais mēneša laikā, ņemot vērā konkrētos apstākļus, kādos personas dati tiek apstrādāti; |
| (b) | if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; or | b) | ja personas datus ir paredzēts izmantot saziņai ar datu subjektu – vēlākais tad, kad ar minēto datu subjektu notiek pirmā saziņa; vai |
| (c) | if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed. | c) | vēlākais tad, kad personas dati pirmoreiz tiek izpausti, ja ir paredzēts tos izpaust citam saņēmējam. |
| 4. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were obtained, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2. | 4. Ja pārzinis paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika iegūti, pārzinis pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā. |
| 5. Paragraphs 1 to 4 shall not apply where and insofar as: | 5. Šā panta 1.–4. punktu nepiemēro, ja un ciktāl: |
| (a) | the data subject already has the information; | a) | informācija jau ir datu subjekta rīcībā; |
| (b) | the provision of such information proves impossible or would involve a disproportionate effort, in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, subject to the conditions and safeguards referred to in Article 89(1) or in so far as the obligation referred to in paragraph 1 of this Article is likely to render impossible or seriously impair the achievement of the objectives of that processing. In such cases the controller shall take appropriate measures to protect the data subject's rights and freedoms and legitimate interests, including making the information publicly available; | b) | izrādās, ka šādas informācijas sniegšana nav iespējama vai tā prasītu nesamērīgi lielas pūles; jo īpaši attiecībā uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos, ievērojot 89. panta 1. punktā minētos nosacījumus un garantijas, vai ciktāl šā panta 1. punktā minētie pienākumi varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus. Šādos gadījumos pārzinis veic atbilstošus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses, tostarp darot informāciju publiski pieejamu; |
| (c) | obtaining or disclosure is expressly laid down by Union or Member State law to which the controller is subject and which provides appropriate measures to protect the data subject's legitimate interests; or | c) | iegūšana vai izpaušana ir skaidri paredzēta Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim un kuros ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai; vai |
| (d) | where the personal data must remain confidential subject to an obligation of professional secrecy regulated by Union or Member State law, including a statutory obligation of secrecy. | d) | ir jāsaglabā personas datu konfidencialitāte, ievērojot dienesta noslēpuma glabāšanas pienākumu, ko reglamentē ar Savienības vai dalībvalsts tiesību aktiem, ieskaitot statūtos noteiktu pienākumu glabāt noslēpumu. |
| Article 15 | 15. pants |
| Right of access by the data subject | Datu subjekta piekļuves tiesības |
| 1. The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information: | 1. Datu subjektam ir tiesības saņemt no pārziņa apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju: |
| (a) | the purposes of the processing; | a) | apstrādes nolūki; |
| (b) | the categories of personal data concerned; | b) | attiecīgo personas datu kategorijas; |
| (c) | the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations; | c) | personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās; |
| (d) | where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; | d) | ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai; |
| (e) | the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing; | e) | tas, ka pastāv tiesības pieprasīt no pārziņa datu subjekta personas datu labošanu vai dzēšanu, vai personas datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi; |
| (f) | the right to lodge a complaint with a supervisory authority; | f) | tiesības iesniegt sūdzību uzraudzības iestādei; |
| (g) | where the personal data are not collected from the data subject, any available information as to their source; | g) | visa pieejamā informācija par datu avotu, ja personas dati netiek vākti no datu subjekta; |
| (h) | the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. | h) | tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu. |
| 2. Where personal data are transferred to a third country or to an international organisation, the data subject shall have the right to be informed of the appropriate safeguards pursuant to Article 46 relating to the transfer. | 2. Ja personas datus nosūta trešai valstij vai starptautiskai organizācijai, datu subjektam ir tiesības saņemt informāciju par atbilstošām garantijām, ko saistībā ar datu nosūtīšanu piemēro, ievērojot 46. pantu. |
| 3. The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form. | 3. Pārzinis nodrošina apstrādē esošo personas datu kopiju. Par visām papildus kopijām, ko pieprasa datu subjekts, pārzinis var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā un ja vien datu subjekts nepieprasa citādi, informāciju sniedz plaši izmantotā elektroniskā formātā. |
| 4. The right to obtain a copy referred to in paragraph 3 shall not adversely affect the rights and freedoms of others. | 4. Tiesības saņemt 3. punktā minēto kopiju neietekmē nelabvēlīgi citu personu tiesības un brīvības. |
| Section 3 | 3. iedaļa |
| Rectification and erasure | Labošana un dzēšana |
| Article 16 | 16. pants |
| Right to rectification | Tiesības labot |
| The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement. | Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās labotu neprecīzus datu subjekta personas datus. Ņemot vērā apstrādes nolūkus, datu subjektam ir tiesības panākt, lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu. |
| Article 17 | 17. pants |
| Right to erasure (‘right to be forgotten’) | Tiesības uz dzēšanu (tiesības “tikt aizmirstam”) |
| 1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies: | 1. Datu subjektam ir tiesības panākt, lai pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem: |
| (a) | the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed; | a) | personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti; |
| (b) | the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing; | b) | datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde saskaņā ar 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu, un ja nav cita likumīga pamata apstrādei; |
| (c) | the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2); | c) | datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 1. punktu, un apstrādei nav nekāda svarīgāka leģitīma pamata, vai arī datu subjekts iebilst pret apstrādi saskaņā ar 21. panta 2. punktu; |
| (d) | the personal data have been unlawfully processed; | d) | personas dati ir apstrādāti nelikumīgi; |
| (e) | the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject; | e) | personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts juridisks pienākums, kas noteikts Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim; |
| (f) | the personal data have been collected in relation to the offer of information society services referred to in Article 8(1). | f) | personas dati ir savākti saistībā ar informācijas sabiedrības pakalpojumu piedāvāšanu, kā minēts 8. panta 1. punktā. |
| 2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data. | 2. Ja pārzinis ir publiskojis personas datus un tā pienākums saskaņā ar 1. punktu ir minētos personas datus dzēst, pārzinis, ņemot vērā pieejamo tehnoloģiju un tās piemērošanas izmaksas, veic saprātīgus pasākumus, tostarp tehniskus pasākumus, lai informētu pārziņus, kas veic personas datu apstrādi, ka datu subjekts ir pieprasījis, lai minētie pārziņi dzēstu visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumus. |
| 3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary: | 3. Šā panta 1. un 2. punktu nepiemēro, ciktāl apstrāde ir nepieciešama: |
| (a) | for exercising the right of freedom of expression and information; | a) | lai īstenotu tiesības uz vārda brīvību un informāciju; |
| (b) | for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; | b) | lai izpildītu juridisku pienākumu, kas prasa veikt apstrādi, kā paredzēts Savienības vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu; |
| (c) | for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3); | c) | pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā saskaņā ar 9. panta 2. punkta h) un i) apakšpunktu, kā arī 9. panta 3. punktu; |
| (d) | for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or | d) | arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, ciktāl 1. punktā minētās tiesības varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus; vai |
| (e) | for the establishment, exercise or defence of legal claims. | e) | lai celtu, īstenotu vai aizstāvētu likumīgas prasības. |
| Article 18 | 18. pants |
| Right to restriction of processing | Tiesības ierobežot apstrādi |
| 1. The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies: | 1. Datu subjektam ir tiesības panākt, lai pārzinis ierobežotu apstrādi, ja ir viens no šādiem apstākļiem: |
| (a) | the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data; | a) | datu subjekts apstrīd personas datu precizitāti – uz laiku, kurā pārzinis var pārbaudīt personas datu precizitāti; |
| (b) | the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead; | b) | apstrāde ir nelikumīga, un datu subjekts iebilst pret personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu; |
| (c) | the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims; | c) | pārzinim personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami datu subjektam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; |
| (d) | the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject. | d) | datu subjekts ir iebildis pret apstrādi saskaņā ar 21. panta 1. punktu, kamēr nav pārbaudīts, vai pārziņa leģitīmie iemesli nav svarīgāki par datu subjekta leģitīmajiem iemesliem. |
| 2. Where processing has been restricted under paragraph 1, such personal data shall, with the exception of storage, only be processed with the data subject's consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the Union or of a Member State. | 2. Ja apstrāde ir ierobežota saskaņā ar 1. punktu, šādus personas datus, izņemot glabāšanu, apstrādā tikai ar datu subjekta piekrišanu vai tādēļ, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai lai aizsargātu citas fiziskas vai juridiskas personas tiesības, vai Savienības vai dalībvalsts svarīgu sabiedrības interešu dēļ. |
| 3. A data subject who has obtained restriction of processing pursuant to paragraph 1 shall be informed by the controller before the restriction of processing is lifted. | 3. Pārzinis datu subjektu, kas ir panācis apstrādes ierobežošanu saskaņā ar 1. punktu, informē pirms apstrādes ierobežojuma atcelšanas. |
| Article 19 | 19. pants |
| Notification obligation regarding rectification or erasure of personal data or restriction of processing | Pienākums ziņot par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu |
| The controller shall communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Article 16, Article 17(1) and Article 18 to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The controller shall inform the data subject about those recipients if the data subject requests it. | Pārzinis katram saņēmējam, kuram personas dati ir izpausti, ziņo par jebkuru personas datu labojumu vai dzēšanu vai apstrādes ierobežošanu, kas veikta saskaņā ar 16. pantu, 17. panta 1. punktu un 18. pantu, izņemot, ja izrādās, ka tas nav iespējams, vai ja tas ir saistīts ar nesamērīgi lielām pūlēm. Pārzinis informē datu subjektu par minētajiem saņēmējiem, ja datu subjekts to pieprasa. |
| Article 20 | 20. pants |
| Right to data portability | Tiesības uz datu pārnesamību |
| 1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where: | 1. Datu subjektam ir tiesības saņemt personas datus attiecībā uz sevi, kurus viņš sniedzis pārzinim, strukturētā, plaši izmantotā un mašīnlasāmā formātā un ir tiesības minētos datus nosūtīt citam pārzinim, un pārzinis, kuram attiecīgie personas dati sniegti, tam nerada nekādus šķēršļus, ja: |
| (a) | the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and | a) | apstrāde pamatojas uz piekrišanu, ievērojot 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu, vai uz līgumu, ievērojot 6. panta 1. punkta b) apakšpunktu; un |
| (b) | the processing is carried out by automated means. | b) | apstrādi veic ar automatizētiem līdzekļiem. |
| 2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible. | 2. Īstenojot savas tiesības uz datu pārnesamību saskaņā ar 1. punktu, datu subjektam ir tiesības uz personas datu nosūtīšanu tieši no viena pārziņa citam pārzinim, ja tas ir tehniski iespējams. |
| 3. The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. | 3. Šā panta 1. punktā minēto tiesību īstenošana neskar 17. pantu. Minētās tiesības neattiecas uz apstrādi, kas ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras. |
| 4. The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others. | 4. Tiesības, kas minētas 1. punktā, neietekmē nelabvēlīgi citu personu tiesības un brīvības. |
| Section 4 | 4. iedaļa |
| Right to object and automated individual decision-making | Tiesības iebilst un automatizēta individuālu lēmumu pieņemšana |
| Article 21 | 21. pants |
| Right to object | Tiesības iebilst |
| 1. The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on point (e) or (f) of Article 6(1), including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims. | 1. Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz 6. panta 1. punkta e) vai f) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minētajiem noteikumiem. Pārzinis personas datus vairs neapstrādā, izņemot, ja pārzinis norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības. |
| 2. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing. | 2. Ja personas datus apstrādā tiešās tirgvedības nolūkos, datu subjektam ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi šādas tirgvedības vajadzībām, kas ietver profilēšanu, ciktāl tā ir saistīta ar šādu tiešo tirgvedību. |
| 3. Where the data subject objects to processing for direct marketing purposes, the personal data shall no longer be processed for such purposes. | 3. Ja datu subjekts iebilst pret apstrādi tiešās tirgvedības vajadzībām, personas datus šādā nolūkā vairs neapstrādā. |
| 4. At the latest at the time of the first communication with the data subject, the right referred to in paragraphs 1 and 2 shall be explicitly brought to the attention of the data subject and shall be presented clearly and separately from any other information. | 4. Vēlākais tad, kad ar datu subjektu notiek pirmā saziņa, datu subjektu nepārprotami informē par 1. un 2. punktā minētajām tiesībām, un to dara tā, lai šī informācija būtu skaidra un lai to varētu atšķirt no jebkuras citas informācijas. |
| 5. In the context of the use of information society services, and notwithstanding Directive 2002/58/EC, the data subject may exercise his or her right to object by automated means using technical specifications. | 5. Saistībā ar informācijas sabiedrības pakalpojumu izmantošanu un neatkarīgi no Direktīvas 2002/58/EK datu subjekts savas tiesības iebilst var īstenot ar automatizētiem līdzekļiem, izmantojot tehniskās specifikācijas. |
| 6. Where personal data are processed for scientific or historical research purposes or statistical purposes pursuant to Article 89(1), the data subject, on grounds relating to his or her particular situation, shall have the right to object to processing of personal data concerning him or her, unless the processing is necessary for the performance of a task carried out for reasons of public interest. | 6. Ja personas datus apstrādā zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, ievērojot 89. panta 1. punktu, datu subjektam, pamatojoties uz savu īpašo situāciju, ir tiesības iebilst pret savu personas datu apstrādi, izņemot, ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs. |
| Article 22 | 22. pants |
| Automated individual decision-making, including profiling | Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana |
| 1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her. | 1. Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu. |
| 2. Paragraph 1 shall not apply if the decision: | 2. Šā panta 1. punktu nepiemēro, ja lēmums: |
| (a) | is necessary for entering into, or performance of, a contract between the data subject and a data controller; | a) | ir vajadzīgs, lai noslēgtu vai izpildītu līgumu starp datu subjektu un datu pārzini; |
| (b) | is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights and freedoms and legitimate interests; or | b) | ir atļauts saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri ir piemērojami pārzinim un kuros ir arī noteikti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses; vai |
| (c) | is based on the data subject's explicit consent. | c) | pamatojas uz datu subjekta nepārprotamu piekrišanu. |
| 3. In the cases referred to in points (a) and (c) of paragraph 2, the data controller shall implement suitable measures to safeguard the data subject's rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision. | 3. Šā panta 2. punkta a) un c) apakšpunktā minētajos gadījumos datu pārzinis veic atbilstīgus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses – vismaz tiesības panākt cilvēka līdzdalību no pārziņa puses –, lai datu subjekts varētu paust savu viedokli un apstrīdēt lēmumu. |
| 4. Decisions referred to in paragraph 2 shall not be based on special categories of personal data referred to in Article 9(1), unless point (a) or (g) of Article 9(2) applies and suitable measures to safeguard the data subject's rights and freedoms and legitimate interests are in place. | 4. Šā panta 2. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas 9. panta 1. punktā, izņemot, ja tiek piemērots 9. panta 2. punkta a) vai g) apakšpunkts un tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses. |
| Section 5 | 5. iedaļa |
| Restrictions | Ierobežojumi |
| Article 23 | 23. pants |
| Restrictions | Ierobežojumi |
| 1. Union or Member State law to which the data controller or processor is subject may restrict by way of a legislative measure the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard: | 1. Saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu: |
| (a) | national security; | a) | valsts drošību; |
| (b) | defence; | b) | aizsardzību; |
| (c) | public security; | c) | sabiedrisko drošību; |
| (d) | the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security; | d) | noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem vai kriminālsodu izpildi, tostarp aizsardzību pret sabiedriskās drošības apdraudējumiem un to novēršanu; |
| (e) | other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation a matters, public health and social security; | e) | citus svarīgus Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķus, jo īpaši Savienībai vai dalībvalstij svarīgas ekonomiskās vai finanšu intereses, tostarp monetāros, budžeta un nodokļu jautājumus, sabiedrības veselību un sociālo nodrošinājumu; |
| (f) | the protection of judicial independence and judicial proceedings; | f) | tiesu neatkarības un tiesvedības aizsardzību; |
| (g) | the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions; | g) | reglamentētu profesiju ētikas kodeksu pārkāpumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem; |
| (h) | a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (e) and (g); | h) | uzraudzības, pārbaudes vai regulatīvo funkciju, kas – pat, ja tikai epizodiski – ir saistīta ar oficiālu pilnvaru īstenošanu a) līdz e) un g) apakšpunktā minētajos gadījumos; |
| (i) | the protection of the data subject or the rights and freedoms of others; | i) | datu subjekta aizsardzību vai citu personu tiesību un brīvību aizsardzību; |
| (j) | the enforcement of civil law claims. | j) | civilprasību izpildi. |
| 2. In particular, any legislative measure referred to in paragraph 1 shall contain specific provisions at least, where relevant, as to: | 2. Jo īpaši – jebkurā leģislatīvā pasākumā, kas minēts 1. punktā, ietver konkrētus noteikumus attiecīgā gadījumā vismaz par: |
| (a) | the purposes of the processing or categories of processing; | a) | nolūkiem, kādos veic apstrādi, vai apstrādes kategorijām; |
| (b) | the categories of personal data; | b) | personas datu kategorijām; |
| (c) | the scope of the restrictions introduced; | c) | ieviesto ierobežojumu darbības jomu; |
| (d) | the safeguards to prevent abuse or unlawful access or transfer; | d) | garantijām, lai novērstu ļaunprātīgu izmantošanu vai nelikumīgu piekļuvi vai nosūtīšanu; |
| (e) | the specification of the controller or categories of controllers; | e) | pārziņa vai pārziņu kategoriju noteikšanu; |
| (f) | the storage periods and the applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing; | f) | glabāšanas laikposmiem un piemērojamām garantijām, ņemot vērā apstrādes vai apstrādes kategoriju raksturu, darbības jomu un nolūkus; |
| (g) | the risks to the rights and freedoms of data subjects; and | g) | riskiem attiecībā uz datu subjektu tiesībām un brīvībām; un |
| (h) | the right of data subjects to be informed about the restriction, unless that may be prejudicial to the purpose of the restriction. | h) | datu subjektu tiesībām saņemt informāciju par ierobežojumu, izņemot tad, ja tas var kaitēt ierobežojuma mērķim. |
| CHAPTER IV | IV NODAĻA |
| Controller and processor | Pārzinis un apstrādātājs |
| Section 1 | 1. iedaļa |
| General obligations | Vispārīgi pienākumi |
| Article 24 | 24. pants |
| Responsibility of the controller | Pārziņa atbildība |
| 1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary. | 1. Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina. |
| 2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller. | 2. Ja tas ir samērīgi attiecībā uz apstrādes darbībām, 1. punktā minētajos pasākumos ietver to, ka pārzinis īsteno atbilstīgu politiku attiecībā uz datu aizsardzību. |
| 3. Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller. | 3. Atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina pārziņa pienākumu izpildi. |
| Article 25 | 25. pants |
| Data protection by design and by default | Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma |
| 1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects. | 1. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, kurus rada apstrāde, pārzinis gan apstrādes līdzekļu noteikšanas, gan pašas apstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, piemēram, pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, piemēram, datu minimizēšanu, un lai apstrādē integrētu vajadzīgās garantijas nolūkā izpildīt šīs regulas prasības un aizsargāt datu subjektu tiesības. |
| 2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons. | 2. Pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Minētais pienākums attiecas uz vākto personas datu apjomu, to apstrādes pakāpi, glabāšanas laikposmu un to pieejamību. Jo īpaši – ar šādiem pasākumiem nodrošina, ka pēc noklusējuma personas datus bez personas līdzdalības nedara pieejamus nenoteiktam fizisku personu skaitam. |
| 3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article. | 3. Apstiprināts sertifikācijas mehānisms atbilstoši 42. pantam var tikt izmantots kā elements, ar ko apliecina atbilstību šā panta 1. un 2. punktā izklāstītajām prasībām. |
| Article 26 | 26. pants |
| Joint controllers | Kopīgi pārziņi |
| 1. Where two or more controllers jointly determine the purposes and means of processing, they shall be joint controllers. They shall in a transparent manner determine their respective responsibilities for compliance with the obligations under this Regulation, in particular as regards the exercising of the rights of the data subject and their respective duties to provide the information referred to in Articles 13 and 14, by means of an arrangement between them unless, and in so far as, the respective responsibilities of the controllers are determined by Union or Member State law to which the controllers are subject. The arrangement may designate a contact point for data subjects. | 1. Ja divi vai vairāki pārziņi kopīgi nosaka apstrādes mērķus un veidus, tie ir kopīgi pārziņi. Kopīgi pārziņi pārredzamā veidā nosaka savus attiecīgos pienākumus, lai izpildītu šajā regulā uzliktās saistības, jo īpaši attiecībā uz datu subjekta tiesību īstenošanu un pārziņu attiecīgajiem pienākumiem sniegt 13. un 14. pantā minēto informāciju; pārziņi pienākumus nosaka, savstarpēji vienojoties, – izņemot, ja un ciktāl attiecīgie pārziņu pienākumi ir noteikti saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami pārziņiem. Ar vienošanos var noteikt datu subjektu kontaktpunktu. |
| 2. The arrangement referred to in paragraph 1 shall duly reflect the respective roles and relationships of the joint controllers vis-à-vis the data subjects. The essence of the arrangement shall be made available to the data subject. | 2. Šā panta 1. punktā minētā vienošanās pienācīgi atspoguļo kopīgo pārziņu attiecīgās lomas un attiecības ar datu subjektiem. Vienošanās galveno saturu dara pieejamu datu subjektam. |
| 3. Irrespective of the terms of the arrangement referred to in paragraph 1, the data subject may exercise his or her rights under this Regulation in respect of and against each of the controllers. | 3. Neatkarīgi no 1. punktā minētās vienošanās nosacījumiem datu subjekts saskaņā ar šo regulu var īstenot savas tiesības attiecībā uz un pret katru pārzini. |
| Article 27 | 27. pants |
| Representatives of controllers or processors not established in the Union | Tādu pārziņu vai apstrādātāju pārstāvji, kuri neveic uzņēmējdarbību Savienībā |
| 1. Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union. | 1. Ja piemēro 3. panta 2. punktu, pārzinis vai apstrādātājs rakstiski ieceļ savu pārstāvi Savienībā. |
| 2. The obligation laid down in paragraph 1 of this Article shall not apply to: | 2. Šā panta 1. punktā minēto pienākumu nepiemēro: |
| (a) | processing which is occasional, does not include, on a large scale, processing of special categories of data as referred to in Article 9(1) or processing of personal data relating to criminal convictions and offences referred to in Article 10, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing; or | a) | apstrādei, kura ir neregulāra, neietver – plašā mērogā – 9. panta 1. punktā minēto īpašo datu kategoriju apstrādi vai 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi, un ja ir maz ticams, ka tā radīs risku fizisku personu tiesībām un brīvībām, ņemot vērā apstrādes raksturu, kontekstu, apmēru un nolūkus; vai |
| (b) | a public authority or body. | b) | publiskai iestādei vai struktūrai. |
| 3. The representative shall be established in one of the Member States where the data subjects, whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, are. | 3. Pārstāvis veic uzņēmējdarbību vienā no tām dalībvalstīm, kur atrodas datu subjekti, kuru personas datus apstrādā saistībā ar preču vai pakalpojumu piedāvāšanu tiem vai kuru uzvedība tiek novērota. |
| 4. The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation. | 4. Lai nodrošinātu atbilstību šai regulai, pārzinis vai apstrādātājs pilnvaro pārstāvi, pie kura – jo īpaši – uzraudzības iestādes un datu subjekti papildus vai pārziņa vai apstrādātāja vietā vēršas visos jautājumos saistībā ar apstrādi. |
| 5. The designation of a representative by the controller or processor shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves. | 5. Pārziņa vai apstrādātāja pārstāvja iecelšana neskar tiesiskās prasības, ko varētu celt pret pašu pārzini vai apstrādātāju. |
| Article 28 | 28. pants |
| Processor | Apstrādātājs |
| 1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject. | 1. Gadījumos, kad apstrāde ir jāveic pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, ka tiks īstenoti atbilstoši tehniskie un organizatoriskie pasākumi tādā veidā, ka apstrādē tiks ievērotas šīs regulas prasības un tiks nodrošināta datu subjekta tiesību aizsardzība. |
| 2. The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes. | 2. Apstrādātājs bez iepriekšējas konkrētas vai vispārējas rakstiskas pārziņa atļaujas nepiesaista citu apstrādātāju. Vispārējas rakstiskas atļaujas gadījumā apstrādātājs informē pārzini par jebkādām iecerētām pārmaiņām saistībā ar papildu apstrādātāju vai apstrādātāja aizstāšanu, tādējādi sniedzot pārzinim iespēju iebilst pret šādām izmaiņām. |
| 3. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor: | 3. Apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai ar citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas ir saistošs apstrādātājam un pārzinim un kurā norāda līguma priekšmetu un apstrādes ilgumu, apstrādes raksturu un nolūku, personas datu veidu un datu subjektu kategorijas un pārziņa pienākumus un tiesības. Minētais līgums vai cits juridiskais akts jo īpaši paredz, ka apstrādātājs: |
| (a) | processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest; | a) | personas datus apstrādā tikai pēc pārziņa dokumentētiem norādījumiem, tostarp saistībā ar nosūtīšanu uz trešo valsti vai starptautisku organizāciju, izņemot, ja tas ir jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami apstrādātājam, un šādā gadījumā apstrādātājs par minēto juridisko prasību informē pārzini pirms apstrādes, izņemot, ja ar attiecīgo tiesību aktu šāda informēšana ir aizliegta svarīgu sabiedrības interešu dēļ; |
| (b) | ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality; | b) | nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti; |
| (c) | takes all measures required pursuant to Article 32; | c) | īsteno visus pasākumus, kas nepieciešami saskaņā ar 32. pantu; |
| (d) | respects the conditions referred to in paragraphs 2 and 4 for engaging another processor; | d) | ievēro 2. un 4. punktā minētos nosacījumus, saskaņā ar kuriem tiek piesaistīts cits apstrādātājs; |
| (e) | taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III; | e) | ciktāl tas ir iespējams ņemot vērā apstrādes būtību, palīdz pārzinim ar atbilstīgiem tehniskiem un organizatoriskiem pasākumiem, kas nodrošina, ka pārzinis var izpildīt savu pienākumu atbildēt uz pieprasījumiem par III nodaļā paredzēto datu subjekta tiesību īstenošanu; |
| (f) | assists the controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 taking into account the nature of processing and the information available to the processor; | f) | palīdz pārzinim nodrošināt 32. līdz 36. pantā minēto pienākumu izpildi, ņemot vērā apstrādes veidu un apstrādātājam pieejamo informāciju; |
| (g) | at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data; | g) | pēc apstrādes pakalpojumu sniegšanas pabeigšanas pēc pārziņa izvēles dzēš vai atdod visus personas datus un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību aktos nav paredzēta personas datu glabāšana; |
| (h) | makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. | h) | pārzinim dara pieejamu visu informāciju, kas nepieciešama, lai apliecinātu, ka tiek pildīti šajā pantā paredzētie pienākumi, un lai ļautu pārzinim vai citam pārziņa pilnvarotam revidentam veikt revīzijas, tostarp pārbaudes, un sniegtu tajās ieguldījumu. |
| With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions. | Attiecībā uz pirmās daļas h) apakšpunktu apstrādātājs nekavējoties informē pārzini, ja, viņaprāt, kāds norādījums pārkāpj šo regulu vai citus Savienības vai dalībvalstu datu aizsardzības noteikumus. |
| 4. Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor's obligations. | 4. Ja apstrādātājs ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem piesaista citu apstrādātāju konkrētu apstrādes darbību veikšanai pārziņa vārdā, šim citam apstrādātājam nosaka tos pašus datu aizsardzības pienākumus, kas noteikti līgumā vai citā juridiskā aktā, kas noslēgts starp pārzini un apstrādātāju, kā minēts 3. punktā, jo īpaši pietiekami garantējot, ka tiks īstenoti piemēroti tehniskie un organizatoriskie pasākumi tādā veidā, lai apstrādē tiktu ievērotas šajā regulā noteiktās prasības. Ja minētais cits apstrādātājs nepilda savus datu aizsardzības pienākumus, sākotnējais apstrādātājs paliek pilnībā atbildīgs pārzinim par šā cita apstrādātāja pienākumu izpildi. |
| 5. Adherence of a processor to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs 1 and 4 of this Article. | 5. Apstrādātāja atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. un 4. punktā minētās pietiekamās garantijas. |
| 6. Without prejudice to an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs 7 and 8 of this Article, including when they are part of a certification granted to the controller or processor pursuant to Articles 42 and 43. | 6. Neskarot atsevišķu līgumu starp pārzini un apstrādātāju, šā panta 3. un 4. punktā minēto līgumu vai citu juridisku aktu var pilnībā vai daļēji balstīt uz šā panta 7. un 8. punktā minētajām līguma standartklauzulām, tostarp ja tās ir daļa no sertifikāta, kurš pārzinim vai apstrādātājam piešķirts saskaņā ar 42. un 43. pantu. |
| 7. The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 93(2). | 7. Komisija var izstrādāt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā. |
| 8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63. | 8. Uzraudzības iestāde var pieņemt līguma standartklauzulas šā panta 3. un 4. punktā minētajiem jautājumiem saskaņā ar konsekvences mehānismu, kas minēts 63. pantā. |
| 9. The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form. | 9. Šā panta 3. un 4. punktā minētais līgums vai cits juridiskais akts ir sagatavots rakstiskā formā, tostarp elektroniski. |
| 10. Without prejudice to Articles 82, 83 and 84, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing. | 10. Neskarot 82., 83. un 84. pantu – ja apstrādātājs pārkāpj šo regulu, nosakot apstrādes nolūkus un līdzekļus, apstrādātāju uzskata par pārzini attiecībā uz minēto apstrādi. |
| Article 29 | 29. pants |
| Processing under the authority of the controller or processor | Apstrāde pārziņa vai apstrādātāja pakļautībā |
| The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law. | Apstrādātājs un jebkura persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, neapstrādā minētos datus citādi, kā vien saskaņā ar pārziņa norādījumiem, ja vien to darīt nepieprasa Savienības vai dalībvalsts tiesību akti. |
| Article 30 | 30. pants |
| Records of processing activities | Apstrādes darbību reģistrēšana |
| 1. Each controller and, where applicable, the controller's representative, shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information: | 1. Katrs pārzinis un attiecīgā gadījumā pārziņa pārstāvis reģistrē tā pakļautībā veiktās apstrādes darbības. Minētajā reģistrā ietver visu šādu informāciju: |
| (a) | the name and contact details of the controller and, where applicable, the joint controller, the controller's representative and the data protection officer; | a) | pārziņa un attiecīgā gadījumā visu kopīgo pārziņu, pārziņa pārstāvja un datu aizsardzības speciālista, vārds un uzvārds vai nosaukums un kontaktinformācija; |
| (b) | the purposes of the processing; | b) | apstrādes nolūki; |
| (c) | a description of the categories of data subjects and of the categories of personal data; | c) | datu subjektu kategoriju un personas datu kategoriju apraksts; |
| (d) | the categories of recipients to whom the personal data have been or will be disclosed including recipients in third countries or international organisations; | d) | to saņēmēju kategorijas, kuriem personas dati ir izpausti vai kuriem tos izpaudīs, tostarp saņēmēji trešās valstīs vai starptautiskās organizācijas; |
| (e) | where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards; | e) | attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atbilstošo garantiju dokumentācija; |
| (f) | where possible, the envisaged time limits for erasure of the different categories of data; | f) | ja iespējams, paredzētie termiņi dažādu kategoriju datu dzēšanai; |
| (g) | where possible, a general description of the technical and organisational security measures referred to in Article 32(1). | g) | ja iespējams, 32. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts. |
| 2. Each processor and, where applicable, the processor's representative shall maintain a record of all categories of processing activities carried out on behalf of a controller, containing: | 2. Katrs apstrādātājs un attiecīgā gadījumā apstrādātāja pārstāvis uztur visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru, ietverot šādu informāciju: |
| (a) | the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller's or the processor's representative, and the data protection officer; | a) | apstrādātāja vai apstrādātāju vārdi un uzvārdi vai nosaukumi un kontaktinformācija un katra tā pārziņa vārds un uzvārds vai nosaukums un kontaktinformācija, kura vārdā apstrādātājs darbojas, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvja un datu aizsardzības speciālista vārds un uzvārds un kontaktinformācija; |
| (b) | the categories of processing carried out on behalf of each controller; | b) | katra pārziņa vārdā veiktās apstrādes kategorijas; |
| (c) | where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards; | c) | attiecīgā gadījumā, informācija par personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju, tostarp šīs trešās valsts vai starptautiskās organizācijas identifikācija, un 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atbilstošo garantiju dokumentācija; |
| (d) | where possible, a general description of the technical and organisational security measures referred to in Article 32(1). | d) | ja iespējams, 32. panta 1. punktā minēto tehnisko un organizatorisko drošības pasākumu vispārējs apraksts. |
| 3. The records referred to in paragraphs 1 and 2 shall be in writing, including in electronic form. | 3. Šā panta 1. un 2. punktā minēto reģistrēšanu veic rakstiski, tostarp elektroniskā formātā. |
| 4. The controller or the processor and, where applicable, the controller's or the processor's representative, shall make the record available to the supervisory authority on request. | 4. Pārzinis vai apstrādātājs, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma nodrošina reģistra pieejamību uzraudzības iestādei. |
| 5. The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10. | 5. Pienākumus, kas minēti 1. un 2. punktā, nepiemēro uzņēmumam vai organizācijai, kas nodarbina mazāk nekā 250 personas, izņemot, ja uzņēmuma vai struktūras veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, apstrāde nav neregulāra vai apstrāde ietver īpašas datu kategorijas, kas minētas 9. panta 1. punktā, vai personas datus par sodāmību un pārkāpumiem, kas minēti 10. pantā. |
| Article 31 | 31. pants |
| Cooperation with the supervisory authority | Sadarbība ar uzraudzības iestādi |
| The controller and the processor and, where applicable, their representatives, shall cooperate, on request, with the supervisory authority in the performance of its tasks. | Pārzinis un apstrādātājs un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma sadarbojas ar uzraudzības iestādi tās uzdevumu izpildē. |
| Section 2 | 2. iedaļa |
| Security of personal data | Personas datu drošība |
| Article 32 | 32. pants |
| Security of processing | Apstrādes drošība |
| 1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate: | 1. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā: |
| (a) | the pseudonymisation and encryption of personal data; | a) | personas datu pseidonimizāciju un šifrēšanu; |
| (b) | the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services; | b) | spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību; |
| (c) | the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident; | c) | spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums; |
| (d) | a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing. | d) | procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, izvērtēšanai un novērtēšanai, lai nodrošinātu apstrādes drošību. |
| 2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed. | 2. Novērtējot atbilstīgo drošības līmeni, ņem vērā jo īpaši riskus, ko rada apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem. |
| 3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article. | 3. Atbilstību apstiprinātam rīcības kodeksam, kā minēts 40. pantā, vai apstiprinātam sertifikācijas mehānismam, kā minēts 42. pantā, var izmantot kā elementu, ar ko apliecina šā panta 1. punktā izklāstīto prasību izpildi. |
| 4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law. | 4. Pārzinis un apstrādātājs veic pasākumus, lai nodrošinātu, ka jebkura fiziska persona, kas darbojas pārziņa vai apstrādātāja pakļautībā un kam ir piekļuve personas datiem, tos neapstrādā bez pārziņa norādījumiem, izņemot, ja minētajai personai tas jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem. |
| Article 33 | 33. pants |
| Notification of a personal data breach to the supervisory authority | Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei |
| 1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay. | 1. Personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par personas datu aizsardzības pārkāpumu uzraudzības iestādei, kas ir kompetenta saskaņā ar 55. pantu, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Ja paziņošana uzraudzības iestādei nav notikusi 72 stundu laikā, paziņojumam pievieno kavēšanās iemeslus. |
| 2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach. | 2. Apstrādātājs, tiklīdz tam kļuvis zināms personas datu aizsardzības pārkāpums, bez nepamatotas kavēšanās paziņo par to pārzinim. |
| 3. The notification referred to in paragraph 1 shall at least: | 3. Paziņojumā, kas minēts 1. punktā, vismaz: |
| (a) | describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned; | a) | apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu; |
| (b) | communicate the name and contact details of the data protection officer or other contact point where more information can be obtained; | b) | paziņo datu aizsardzības speciālista vārdu un uzvārdu un kontaktinformāciju vai norāda citu kontaktpunktu, kur var iegūt papildu informāciju; |
| (c) | describe the likely consequences of the personal data breach; | c) | apraksta personas datu aizsardzības pārkāpuma iespējamās sekas; |
| (d) | describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects. | d) | apraksta pasākumus, ko pārzinis veicis vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, lai mazinātu tā iespējamās nelabvēlīgās sekas. |
| 4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay. | 4. Ja un ciktāl informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās. |
| 5. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article. | 5. Pārzinis dokumentē visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj uzraudzības iestādei pārbaudīt šā panta ievērošanu. |
| Article 34 | 34. pants |
| Communication of a personal data breach to the data subject | Datu subjekta informēšana par personas datu aizsardzības pārkāpumu |
| 1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay. | 1. Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu. |
| 2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points (b), (c) and (d) of Article 33(3). | 2. Paziņojumā datu subjektam, kas minēts šā panta 1. punktā, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz 33. panta 3. punkta b), c) un d) apakšpunktā paredzēto informāciju un pasākumus. |
| 3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met: | 3. Paziņojums datu subjektam, kā minēts 1. punktā, nav jāsniedz, ja tiek izpildīts jebkurš no šādiem nosacījumiem: |
| (a) | the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption; | a) | pārzinis ir īstenojis atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana; |
| (b) | the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise; | b) | pārzinis ir veicis turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām; |
| (c) | it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner. | c) | tas prasītu nesamērīgi lielas pūles. Šādā gadījumā tā vietā izmanto publisku saziņu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā. |
| 4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met. | 4. Ja pārzinis vēl nav paziņojis datu subjektam par personas datu aizsardzības pārkāpumu, uzraudzības iestāde, apsvērusi iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīti visi 3. punktā minētie nosacījumi. |
| Section 3 | 3. iedaļa |
| Data protection impact assessment and prior consultation | Novērtējums par ietekmi uz datu aizsardzību un iepriekšēja apspriešanās |
| Article 35 | 35. pants |
| Data protection impact assessment | Novērtējums par ietekmi uz datu aizsardzību |
| 1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks. | 1. Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski. |
| 2. The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment. | 2. Pārzinis, veicot novērtējumu par ietekmi uz datu aizsardzību, lūdz padomu no datu aizsardzības speciālista, ja tāds ir iecelts. |
| 3. A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of: | 3. Šā panta 1. punktā minētais novērtējums par ietekmi uz datu aizsardzību jo īpaši ir vajadzīgs šādos gadījumos: |
| (a) | a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person; | a) | ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, kuras pamatā ir automatizēta apstrāde, tostarp profilēšana, un ar kuru pamato lēmumus, kas fiziskai personai rada tiesiskās sekas vai līdzīgi būtiski ietekmē fizisko personu; |
| (b) | processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or | b) | 9. panta 1. punktā minēto īpašo kategoriju datu vai 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrāde plašā mērogā; vai |
| (c) | a systematic monitoring of a publicly accessible area on a large scale. | c) | publiski pieejamas zonas sistemātiska uzraudzība plašā mērogā. |
| 4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68. | 4. Uzraudzības iestāde izstrādā un publisko sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību saskaņā ar 1. punktu. Uzraudzības iestāde minētos sarakstus iesniedz 68. pantā minētajai kolēģijai. |
| 5. The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the Board. | 5. Uzraudzības iestāde var izstrādāt un publiskot arī sarakstu ar tiem apstrādes darbību veidiem, attiecībā uz kuriem nav vajadzīgs novērtējums par ietekmi uz datu aizsardzību. Uzraudzības iestāde minētos sarakstus iesniedz kolēģijai. |
| 6. Prior to the adoption of the lists referred to in paragraphs 4 and 5, the competent supervisory authority shall apply the consistency mechanism referred to in Article 63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member States, or may substantially affect the free movement of personal data within the Union. | 6. Ja 4. un 5. punktā paredzētais saraksts ietver apstrādes darbības, kas ir saistītas ar preču vai pakalpojumu sniegšanu datu subjektiem vai ar viņu uzvedības novērošanu vairākās dalībvalstīs, vai kas var būtiski ietekmēt personas datu brīvu apriti Savienībā, kompetentā uzraudzības iestāde pirms minētā saraksta pieņemšanas piemēro 63. pantā paredzēto konsekvences mehānismu. |
| 7. The assessment shall contain at least: | 7. Novērtējumā ietver vismaz: |
| (a) | a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller; | a) | plānoto apstrādes darbību un apstrādes nolūku, tostarp attiecīgā gadījumā pārziņa leģitīmo interešu sistemātisku aprakstu; |
| (b) | an assessment of the necessity and proportionality of the processing operations in relation to the purposes; | b) | novērtējumu par apstrādes darbību nepieciešamību un samērīgumu attiecībā uz nolūkiem; |
| (c) | an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and | c) | novērtējumu par 1. punktā minētajiem riskiem datu subjektu tiesībām un brīvībām; un |
| (d) | the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned. | d) | pasākumus, kas paredzēti risku novēršanai, tostarp garantijas, drošības pasākumus un mehānismus, ar ko nodrošina personas datu aizsardzību un uzskatāmi parāda, ka ir ievērota šī regula, ņemot vērā datu subjektu un citu attiecīgo personu tiesības un leģitīmās intereses. |
| 8. Compliance with approved codes of conduct referred to in Article 40 by the relevant controllers or processors shall be taken into due account in assessing the impact of the processing operations performed by such controllers or processors, in particular for the purposes of a data protection impact assessment. | 8. Attiecīgo pārziņu vai apstrādātāju atbilstību 40. pantā minētajam rīcības kodeksam pienācīgi ņem vērā, novērtējot šādu pārziņu vai apstrādātāju veikto apstrādes darbību ietekmi, jo īpaši saistībā ar novērtējumu par ietekmi uz datu aizsardzību. |
| 9. Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of processing operations. | 9. Attiecīgā gadījumā pārzinis pieprasa datu subjektu vai viņu pārstāvju viedokli par plānoto apstrādi, neskarot komerciālu vai sabiedrības interešu aizsardzību vai apstrādes darbību drošību. |
| 10. Where processing pursuant to point (c) or (e) of Article 6(1) has a legal basis in Union law or in the law of the Member State to which the controller is subject, that law regulates the specific processing operation or set of operations in question, and a data protection impact assessment has already been carried out as part of a general impact assessment in the context of the adoption of that legal basis, paragraphs 1 to 7 shall not apply unless Member States deem it to be necessary to carry out such an assessment prior to processing activities. | 10. Ja saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu veiktās apstrādes juridiskais pamats ir noteikts Savienības tiesību aktos vai tās dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim, un minētie tiesību akti reglamentē konkrēto apstrādes darbību vai minēto darbību kopumu, un novērtējums par ietekmi uz datu aizsardzību jau ir veikts kā daļa no vispārējā ietekmes novērtējuma saistībā ar minētā juridiskā pamata pieņemšanu, šā panta 1.–7. punktu nepiemēro, izņemot, ja dalībvalstis uzskata, ka pirms apstrādes darbībām ir jāveic šāds novērtējums. |
| 11. Where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations. | 11. Ja vajadzīgs, pārzinis veic pārskatu, lai novērtētu, vai apstrāde notiek saskaņā ar novērtējumu par ietekmi uz datu aizsardzību, vismaz tad, ja ir izmaiņas attiecībā uz apstrādes darbību radīto risku. |
| Article 36 | 36. pants |
| Prior consultation | Iepriekšēja apspriešanās |
| 1. The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk. | 1. Pārzinis pirms apstrādes apspriežas ar uzraudzības iestādi, ja novērtējumā par ietekmi uz datu aizsardzību saskaņā ar 35. pantu ir norādīts, ka gadījumā, ja pārzinis neveiktu pasākumus riska mazināšanai, apstrāde radītu augstu risku. |
| 2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation. | 2. Ja uzraudzības iestāde uzskata, ka 1. punktā minētā plānotā apstrāde pārkāptu šo regulu, jo īpaši, ja pārzinis nav pietiekami identificējis vai mazinājis risku, uzraudzības iestāde laikposmā līdz astoņām nedēļām no pieprasījuma par apspriešanos saņemšanas sniedz pārzinim un attiecīgā gadījumā apstrādātajam rakstisku padomu un var izmantot savas 58. pantā minētās pilnvaras. Minēto laikposmu var pagarināt par sešām nedēļām, ņemot vērā plānotās apstrādes sarežģītību. Uzraudzības iestāde informē pārzini un attiecīgā gadījumā apstrādātāju par jebkādu šādu pagarinājumu viena mēneša laikā pēc pieprasījuma par apspriešanos saņemšanas, norādot kavēšanās iemeslus. Minētos laikposmus var apturēt līdz brīdim, kamēr uzraudzības iestāde saņem informāciju, ko tā pieprasījusi apspriešanās nolūkiem. |
| 3. When consulting the supervisory authority pursuant to paragraph 1, the controller shall provide the supervisory authority with: | 3. Apspriežoties ar uzraudzības iestādi saskaņā ar 1. punktu, pārzinis iesniedz uzraudzības iestādei: |
| (a) | where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings; | a) | attiecīgā gadījumā pārziņa, kopīgu pārziņu un apstrādē iesaistīto apstrādātāju attiecīgos pienākumus, jo īpaši, lai veiktu apstrādi uzņēmumu grupā; |
| (b) | the purposes and means of the intended processing; | b) | paredzētās apstrādes nolūkus un līdzekļus; |
| (c) | the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation; | c) | pasākumus un garantijas, lai nodrošinātu datu subjektu tiesību un brīvību aizsardzību saskaņā ar šo regulu; |
| (d) | where applicable, the contact details of the data protection officer; | d) | attiecīgā gadījumā datu aizsardzības speciālista kontaktinformāciju; |
| (e) | the data protection impact assessment provided for in Article 35; and | e) | 35. pantā paredzēto novērtējumu par ietekmi uz datu aizsardzību; un |
| (f) | any other information requested by the supervisory authority. | f) | jebkādu citu uzraudzības iestādes prasītu informāciju. |
| 4. Member States shall consult the supervisory authority during the preparation of a proposal for a legislative measure to be adopted by a national parliament, or of a regulatory measure based on such a legislative measure, which relates to processing. | 4. Dalībvalstis apspriežas ar uzraudzības iestādi, kamēr tiek gatavots priekšlikums leģislatīvam pasākumam, ko pieņems valsts parlaments, vai regulatīvs pasākums, kas balstās uz šādu leģislatīvu pasākumu, kurš attiecas uz apstrādi. |
| 5. Notwithstanding paragraph 1, Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health. | 5. Neatkarīgi no 1. punkta – dalībvalsts tiesību aktos var būt noteikts, ka pārziņiem ir jāapspriežas ar uzraudzības iestādi un jāsaņem no tās iepriekšēja atļauja saistībā ar apstrādi, ko veic pārzinis, lai izpildītu sabiedrības interesēs īstenojamu uzdevumu, tostarp, kad minēto apstrādi veic saistībā ar sociālo aizsardzību un sabiedrības veselību. |
| Section 4 | 4. iedaļa |
| Data protection officer | Datu aizsardzības speciālists |
| Article 37 | 37. pants |
| Designation of the data protection officer | Datu aizsardzības speciālista iecelšana |
| 1. The controller and the processor shall designate a data protection officer in any case where: | 1. Pārzinis un apstrādātājs ieceļ datu aizsardzības speciālistu katrā gadījumā, kad: |
| (a) | the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; | a) | apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, tām pildot savus uzdevumus; |
| (b) | the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or | b) | pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā; vai |
| (c) | the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10. | c) | pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju datu saskaņā ar 9. pantu un 10. pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi plašā mērogā. |
| 2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment. | 2. Uzņēmumu grupa var iecelt vienu datu aizsardzības speciālistu ar noteikumu, ka katrs uzņēmums var viegli sazināties ar datu aizsardzības speciālistu. |
| 3. Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size. | 3. Ja pārzinis vai apstrādātājs ir publiska iestāde vai struktūra, vienu datu aizsardzības speciālistu var iecelt vairākām šādām iestādēm vai struktūrām, ņemot vērā to organizatorisko uzbūvi un lielumu. |
| 4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors. | 4. Gadījumos, kas nav minēti 1. punktā, pārzinis vai apstrādātājs, vai apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var iecelt vai – ja tas jādara saskaņā ar Savienības vai dalībvalsts tiesību aktiem – ieceļ datu aizsardzības speciālistu. Datu aizsardzības speciālists var rīkoties šādu apvienību un citu struktūru, kas pārstāv pārziņus vai apstrādātājus, uzdevumā. |
| 5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39. | 5. Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju, jo īpaši speciālām zināšanām datu aizsardzības tiesību un prakses jomā un spēju pildīt 39. pantā minētos uzdevumus. |
| 6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract. | 6. Datu aizsardzības speciālists var būt pārziņa vai apstrādātāja darbinieks, vai viņš var veikt uzdevumus, pamatojoties uz pakalpojumu līgumu. |
| 7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority. | 7. Pārzinis vai apstrādātājs publisko datu aizsardzības speciālista kontaktinformāciju un paziņo to uzraudzības iestādei. |
| Article 38 | 38. pants |
| Position of the data protection officer | Datu aizsardzības speciālista statuss |
| 1. The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data. | 1. Pārzinis un apstrādātājs nodrošina, ka datu aizsardzības speciālists tiek pienācīgi un laikus iesaistīts visos jautājumos saistībā ar personas datu aizsardzību. |
| 2. The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge. | 2. Pārzinis un apstrādātājs atbalsta datu aizsardzības speciālistu 39. pantā minēto uzdevumu izpildē, nodrošinot resursus, kas nepieciešami, lai veiktu minētos uzdevumus, un nodrošinot piekļuvi personas datiem un apstrādes darbībām, un lai viņš uzturētu speciālās zināšanas. |
| 3. The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor. | 3. Pārzinis un apstrādātājs nodrošina, ka datu aizsardzības speciālists nesaņem nekādus norādījumus attiecībā uz minēto uzdevumu veikšanu. Pārzinis vai apstrādātājs viņu neatlaiž vai viņam nepiemēro sankcijas par viņa uzdevumu veikšanu. Datu aizsardzības speciālists ir tieši atbildīgs pārziņa vai apstrādātāja augstākās vadības priekšā. |
| 4. Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation. | 4. Datu subjekti var vērsties pie datu aizsardzības speciālista visos jautājumos, kas saistīti ar viņu personas datu apstrādi un šajā regulā paredzēto tiesību īstenošanu. |
| 5. The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law. | 5. Datu aizsardzības speciālistam ir saistoša slepenības vai konfidencialitātes ievērošana saistībā ar viņa uzdevumu pildīšanu, kā paredzēts Savienības vai dalībvalstu tiesību aktos. |
| 6. The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests. | 6. Datu aizsardzības speciālists var pildīt citus uzdevumus un pienākumus. Pārzinis vai apstrādātājs nodrošina, lai neviens no minētajiem uzdevumiem un pienākumiem neradītu interešu konfliktu. |
| Article 39 | 39. pants |
| Tasks of the data protection officer | Datu aizsardzības speciālista uzdevumi |
| 1. The data protection officer shall have at least the following tasks: | 1. Datu aizsardzības speciālistam ir vismaz šādi uzdevumi: |
| (a) | to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions; | a) | informēt un konsultēt pārzini vai apstrādātāju un darbiniekus, kuri veic apstrādi, par viņu pienākumiem saskaņā ar šo regulu un ar citiem Savienības vai dalībvalstu noteikumiem par datu aizsardzību; |
| (b) | to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits; | b) | uzraudzīt, vai tiek ievērota šī regula, citi Savienības vai dalībvalstu noteikumi par datu aizsardzību un pārziņa vai apstrādātāja politika saistībā ar personas datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām; |
| (c) | to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35; | c) | pēc pieprasījuma sniegt padomus attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar 35. pantu; |
| (d) | to cooperate with the supervisory authority; | d) | sadarboties ar uzraudzības iestādi; |
| (e) | to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter. | e) | būt par uzraudzības iestādes kontaktpunktu jautājumos, kas saistīti ar apstrādi, tostarp 36. pantā minēto iepriekšējo apspriešanos, un attiecīgā gadījumā konsultēt par jebkuru citu jautājumu. |
| 2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing. | 2. Datu aizsardzības speciālists, pildot savus uzdevumus, pienācīgi ņem vērā ar apstrādes darbībām saistīto risku, ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūku. |
| Section 5 | 5. iedaļa |
| Codes of conduct and certification | Rīcības kodeksi un sertifikācija |
| Article 40 | 40. pants |
| Codes of conduct | Rīcības kodeksi |
| 1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises. | 1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu šīs regulas atbilstīgu piemērošanu, ņemot vērā dažādo apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības. |
| 2. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to: | 2. Apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var izstrādāt rīcības kodeksus vai tos grozīt vai papildināt, lai precīzi noteiktu, kā piemērojama šī regula, piemēram, attiecībā uz: |
| (a) | fair and transparent processing; | a) | godprātīgu un pārredzamu apstrādi; |
| (b) | the legitimate interests pursued by controllers in specific contexts; | b) | pārziņu leģitīmajām interesēm konkrētos gadījumos; |
| (c) | the collection of personal data; | c) | personas datu vākšanu; |
| (d) | the pseudonymisation of personal data; | d) | personas datu pseidonimizāciju; |
| (e) | the information provided to the public and to data subjects; | e) | informāciju, ko sniedz sabiedrībai un datu subjektiem; |
| (f) | the exercise of the rights of data subjects; | f) | datu subjektu tiesību īstenošanu; |
| (g) | the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained; | g) | informāciju, ko sniedz bērniem un bērnu aizsardzību un to, kādā veidā iegūstama tās personas piekrišana, kurai ir vecāku atbildība par bērniem; |
| (h) | the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32; | h) | pasākumiem un procedūrām, kas minēti 24. un 25. pantā, un pasākumiem, ar ko garantē 32. pantā minēto apstrādes drošību; |
| (i) | the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects; | i) | uzraudzības iestāžu informēšanu par personas datu aizsardzības pārkāpumiem un šādu personas datu pārkāpumu paziņošanu datu subjektiem; |
| (j) | the transfer of personal data to third countries or international organisations; or | j) | personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām; vai |
| (k) | out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79. | k) | ārpustiesas procedūrām un citām strīdu risināšanas procedūrām attiecībā uz strīdiem starp pārzini un datu subjektu saistībā ar apstrādi, neskarot datu subjektu tiesības saskaņā ar 77. un 79. pantu. |
| 3. In addition to adherence by controllers or processors subject to this Regulation, codes of conduct approved pursuant to paragraph 5 of this Article and having general validity pursuant to paragraph 9 of this Article may also be adhered to by controllers or processors that are not subject to this Regulation pursuant to Article 3 in order to provide appropriate safeguards within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (e) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards including with regard to the rights of data subjects. | 3. Papildus tam, ka rīcības kodeksus, kas ir apstiprināti atbilstīgi šā panta 5. punktam un vispārēji piemērojami atbilstīgi šā panta 9. punktam, ievēro pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var ievērot arī pārziņi vai apstrādātāji, uz kuriem atbilstīgi 3. pantam šī regula neattiecas, lai nodrošinātu atbilstošas garantijas, ko piemēro personas datu nosūtīšanai uz trešām valstīm vai starptautiskām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta e) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām. |
| 4. A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article 55 or 56. | 4. Neskarot to uzraudzības iestāžu uzdevumus un pilnvaras, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, šā panta 2. punktā minētajā rīcības kodeksā ir ietverti mehānismi, kas ļauj 41. panta 1. punktā minētajai struktūrai veikt obligāto pārraudzību par to, kā pārziņi vai apstrādātāji, kuri apņemas piemērot attiecīgo kodeksu, ievēro tā noteikumus. |
| 5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards. | 5. Šā panta 2. punktā minētās apvienības un citas struktūras, kas plāno izstrādāt rīcības kodeksu vai grozīt vai papildināt esošu rīcības kodeksu, iesniedz rīcības kodeksa, grozījumu vai papildinājumu projektu uzraudzības iestādei, kura saskaņā ar 55. pantu ir kompetenta. Uzraudzības iestāde sniedz atzinumu par to, vai rīcības kodeksa, grozījumu vai papildinājumu projekts ir saskaņā ar šo regulu, un apstiprina minēto rīcības kodeksa, grozījumu vai papildinājumu projektu, ja tā konstatē, ka tas nodrošina pietiekamas atbilstošas garantijas. |
| 6. Where the draft code, or amendment or extension is approved in accordance with paragraph 5, and where the code of conduct concerned does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code. | 6. Ja rīcības kodeksa, grozījumu vai papildinājumu projekts ir apstiprināts saskaņā ar 5. punktu un ja attiecīgais rīcības kodekss neattiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde reģistrē un publisko kodeksu. |
| 7. Where a draft code of conduct relates to processing activities in several Member States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article 63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph 3 of this Article, provides appropriate safeguards. | 7. Ja rīcības kodeksa projekts attiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde, kura saskaņā ar 55. pantu ir kompetenta, pirms rīcības kodeksa projektu, grozījumu vai papildinājumu apstiprināšanas 63. pantā noteiktajā kārtībā iesniedz kolēģijai, kas sniedz atzinumu par to, vai minētais rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu, vai – gadījumā, kas minēts šā panta 3. punktā – nodrošina atbilstošas garantijas. |
| 8. Where the opinion referred to in paragraph 7 confirms that the draft code, amendment or extension complies with this Regulation, or, in the situation referred to in paragraph 3, provides appropriate safeguards, the Board shall submit its opinion to the Commission. | 8. Ja 7. punktā minētais atzinums apstiprina, ka rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu vai – gadījumā, kas minēts 3. punktā – nodrošina atbilstošas garantijas, kolēģija iesniedz atzinumu Komisijai. |
| 9. The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph 8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2). | 9. Komisija, pieņemot īstenošanas aktus, var nolemt, ka saskaņā ar šā panta 8. punktu iesniegts apstiprināts rīcības kodekss, grozījums vai papildinājums ir vispārēji piemērojami Savienībā. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru. |
| 10. The Commission shall ensure appropriate publicity for the approved codes which have been decided as having general validity in accordance with paragraph 9. | 10. Komisija nodrošina atbilstīgu publicitāti tiem apstiprinātajiem rīcības kodeksiem, par kuriem saskaņā ar 9. punktu pieņemts lēmums, ka tie ir vispārēji piemērojami. |
| 11. The Board shall collate all approved codes of conduct, amendments and extensions in a register and shall make them publicly available by way of appropriate means. | 11. Kolēģija visus apstiprinātos rīcības kodeksus, grozījumus un papildinājumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot piemērotus līdzekļus. |
| Article 41 | 41. pants |
| Monitoring of approved codes of conduct | Apstiprināto rīcības kodeksu pārraudzība |
| 1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, the monitoring of compliance with a code of conduct pursuant to Article 40 may be carried out by a body which has an appropriate level of expertise in relation to the subject-matter of the code and is accredited for that purpose by the competent supervisory authority. | 1. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras, kas minēti 57. un 58. pantā, rīcības kodeksa ievērošanas pārraudzību saskaņā ar 40. pantu var veikt struktūra, kura pienācīgi pārzina kodeksa tematiku un kuru minētajam nolūkam ir akreditējusi kompetentā uzraudzības iestāde. |
| 2. A body as referred to in paragraph 1 may be accredited to monitor compliance with a code of conduct where that body has: | 2. Šā panta 1. punktā paredzēto struktūru var akreditēt, lai pārraudzītu atbilstību rīcības kodeksam, ja minētā struktūra: |
| (a) | demonstrated its independence and expertise in relation to the subject-matter of the code to the satisfaction of the competent supervisory authority; | a) | kompetentajai uzraudzības iestādei ir uzskatāmi parādījusi, ka darbojas neatkarīgi un pārzina kodeksa tematiku; |
| (b) | established procedures which allow it to assess the eligibility of controllers and processors concerned to apply the code, to monitor their compliance with its provisions and to periodically review its operation; | b) | ir izstrādājusi kārtību, kas tai ļauj novērtēt, vai attiecīgie pārziņi un apstrādātāji ir tiesīgi piemērot attiecīgo kodeksu, un pārraudzīt, kā tie ievēro kodeksa noteikumus, kā arī periodiski pārskatīt kodeksa darbību; |
| (c) | established procedures and structures to handle complaints about infringements of the code or the manner in which the code has been, or is being, implemented by a controller or processor, and to make those procedures and structures transparent to data subjects and the public; and | c) | ir izstrādājusi kārtību un izveidojusi struktūras, lai izskatītu sūdzības par attiecīgā kodeksa pārkāpumiem vai to, kā pārzinis vai apstrādātājs ir īstenojis vai īsteno kodeksu, un lai nodrošinātu, ka minētā kārtība un struktūras ir datu subjektiem un sabiedrībai pārredzamas; un |
| (d) | demonstrated to the satisfaction of the competent supervisory authority that its tasks and duties do not result in a conflict of interests. | d) | ir kompetentajai uzraudzības iestādei uzskatāmi parādījusi, ka tās uzdevumi un pienākumi nerada interešu konfliktu. |
| 3. The competent supervisory authority shall submit the draft criteria for accreditation of a body as referred to in paragraph 1 of this Article to the Board pursuant to the consistency mechanism referred to in Article 63. | 3. Kompetentā uzraudzības iestāde kolēģijai iesniedz projektu par šā panta 1. punktā minētās struktūras akreditēšanas kritērijiem saskaņā ar 63. pantā minēto konsekvences mehānismu. |
| 4. Without prejudice to the tasks and powers of the competent supervisory authority and the provisions of Chapter VIII, a body as referred to in paragraph 1 of this Article shall, subject to appropriate safeguards, take appropriate action in cases of infringement of the code by a controller or processor, including suspension or exclusion of the controller or processor concerned from the code. It shall inform the competent supervisory authority of such actions and the reasons for taking them. | 4. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras un VIII nodaļā paredzētos noteikumus, šā panta 1. punktā minētā struktūra, ievērojot atbilstošas garantijas, atbilstīgi rīkojas gadījumos, kad pārzinis vai apstrādātājs izdara attiecīgā kodeksa pārkāpumu, tostarp tā uz laiku vai pavisam izslēdz pārzini vai apstrādātāju no attiecīgā kodeksa. Struktūra informē kompetento uzraudzības iestādi par minētajām darbībām un to veikšanas iemesliem. |
| 5. The competent supervisory authority shall revoke the accreditation of a body as referred to in paragraph 1 if the conditions for accreditation are not, or are no longer, met or where actions taken by the body infringe this Regulation. | 5. Kompetentā uzraudzības iestāde atsauc 1. punktā minētās struktūras akreditāciju, ja nav izpildīti vai vairs netiek pildīti akreditācijas nosacījumi vai ja struktūras veiktās darbības pārkāpj šo regulu. |
| 6. This Article shall not apply to processing carried out by public authorities and bodies. | 6. Šo pantu nepiemēro apstrādei, ko veic publiskas iestādes un struktūras. |
| Article 42 | 42. pants |
| Certification | Sertifikācija |
| 1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account. | 1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina, jo īpaši Savienības līmenī, izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus, lai uzskatāmi parādītu, ka apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst šai regulai. Ņem vērā mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības. |
| 2. In addition to adherence by controllers or processors subject to this Regulation, data protection certification mechanisms, seals or marks approved pursuant to paragraph 5 of this Article may be established for the purpose of demonstrating the existence of appropriate safeguards provided by controllers or processors that are not subject to this Regulation pursuant to Article 3 within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (f) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards, including with regard to the rights of data subjects. | 2. Papildus tam, ka saskaņā ar šā panta 5. punktu apstiprinātus datu aizsardzības sertifikācijas mehānismus, zīmogus vai marķējumus izmanto pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var izmantot, lai pierādītu, ka pārziņi vai apstrādātāji, uz kuriem, ievērojot 3. pantu, šī regula neattiecas, ir nodrošinājuši atbilstošas garantijas, ko piemēro datu nosūtīšanai uz trešām valstīm vai starptautiskajām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta f) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām. |
| 3. The certification shall be voluntary and available via a process that is transparent. | 3. Sertifikācija ir brīvprātīga un pieejama procesā, kas ir pārredzams. |
| 4. A certification pursuant to this Article does not reduce the responsibility of the controller or the processor for compliance with this Regulation and is without prejudice to the tasks and powers of the supervisory authorities which are competent pursuant to Article 55 or 56. | 4. Sertifikācija, ko veic saskaņā ar šo pantu, nemazina pārziņa vai apstrādātāja atbildību attiecībā uz šīs regulas ievērošanu, un tā neskar uzraudzības iestāžu, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, uzdevumus un pilnvaras. |
| 5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal. | 5. Šajā pantā paredzētu sertifikātu izdod 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde, pamatojoties uz kritērijiem, ko – ievērojot 58. panta 3. punktu – apstiprinājusi minētā kompetentā uzraudzības iestāde vai – ievērojot 63. pantu – kolēģija. Ja kritērijus apstiprinājusi kolēģija, var izdot kopīgu sertifikātu – Eiropas datu aizsardzības zīmogu. |
| 6. The controller or processor which submits its processing to the certification mechanism shall provide the certification body referred to in Article 43, or where applicable, the competent supervisory authority, with all information and access to its processing activities which are necessary to conduct the certification procedure. | 6. Pārzinis vai apstrādātājs, kas savas apstrādes darbības pakļauj minētajam sertifikācijas mehānismam, sniedz visu informāciju 43. pantā paredzētajai sertifikācijas struktūrai vai attiecīgā gadījumā kompetentajai uzraudzības iestādei un nodrošina piekļuvi savām apstrādes darbībām, kas vajadzīga, lai veiktu minēto sertifikācijas procedūru. |
| 7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant requirements continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the requirements for the certification are not or are no longer met. | 7. Sertifikātu pārzinim vai apstrādātājam izdod uz laikposmu, kas nepārsniedz trīs gadus, un to var atjaunot ar tādiem pašiem nosacījumiem, ar noteikumu, ka attiecīgās prasības joprojām ir izpildītas. Attiecīgā gadījumā 43. pantā minētās sertifikācijas struktūras vai kompetentā uzraudzības iestāde atsauc sertifikātu, ja sertifikācijas prasības nav izpildītas vai vairs netiek pildītas. |
| 8. The Board shall collate all certification mechanisms and data protection seals and marks in a register and shall make them publicly available by any appropriate means. | 8. Kolēģija visus sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot jebkādus piemērotus līdzekļus. |
| Article 43 | 43. pants |
| Certification bodies | Sertifikācijas struktūras |
| 1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, certification bodies which have an appropriate level of expertise in relation to data protection shall, after informing the supervisory authority in order to allow it to exercise its powers pursuant to point (h) of Article 58(2) where necessary, issue and renew certification. Member States shall ensure that those certification bodies are accredited by one or both of the following: | 1. Neskarot kompetentās uzraudzības iestādes uzdevumus un pilnvaras saskaņā ar 57. un 58. pantu, sertifikātu izdod un atjauno sertifikācijas struktūras, kam ir atbilstīgas specializētās zināšanas datu aizsardzības jomā, pēc tam, kad tās ir informējušas uzraudzības iestādi, lai tā vajadzības gadījumā varētu īstenot savas pilnvaras saskaņā ar 58. panta 2. punkta h) apakšpunktu. Dalībvalstis nodrošina, ka minētās sertifikācijas struktūras akreditē viena vai abas no turpmāk minētajām: |
| (a) | the supervisory authority which is competent pursuant to Article 55 or 56; | a) | uzraudzības iestāde, kas ir kompetenta, ievērojot 55. vai 56. pantu; |
| (b) | the national accreditation body named in accordance with Regulation (EC) No 765/2008 of the European Parliament and of the Council (20) in accordance with EN-ISO/IEC 17065/2012 and with the additional requirements established by the supervisory authority which is competent pursuant to Article 55 or 56. | b) | valsts akreditācijas struktūra, kas norādīta saskaņā ar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 765/2008 (20) atbilstīgi EN-ISO/IEC 17065/2012 un papildu prasībām, ko paredzējusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu. |
| 2. Certification bodies referred to in paragraph 1 shall be accredited in accordance with that paragraph only where they have: | 2. Šā panta 1. punktā minētās sertifikācijas struktūras akreditē saskaņā ar minēto punktu tikai tad, ja tās: |
| (a) | demonstrated their independence and expertise in relation to the subject-matter of the certification to the satisfaction of the competent supervisory authority; | a) | kompetentajai uzraudzības iestādei ir uzskatāmi parādījušas, ka darbojas neatkarīgi un pārzina sertifikācijas tematiku; |
| (b) | undertaken to respect the criteria referred to in Article 42(5) and approved by the supervisory authority which is competent pursuant to Article 55 or 56 or by the Board pursuant to Article 63; | b) | ir apņēmušās ievērot 42. panta 5. punktā minētos kritērijus un to ir apstiprinājusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu, vai – ievērojot 63. pantu – kolēģija; |
| (c) | established procedures for the issuing, periodic review and withdrawal of data protection certification, seals and marks; | c) | ir izstrādājušas procedūru, kādā piešķir, periodiski pārskata un atsauc datu aizsardzības sertifikātu, zīmogus un marķējumus; |
| (d) | established procedures and structures to handle complaints about infringements of the certification or the manner in which the certification has been, or is being, implemented by the controller or processor, and to make those procedures and structures transparent to data subjects and the public; and | d) | ir izstrādājušas procedūru un izveidojušas struktūras, lai izskatītu sūdzības par attiecīgās sertifikācijas pārkāpumiem vai to, kā pārzinis vai apstrādātājs ir īstenojis vai īsteno sertifikāciju, un lai nodrošinātu, ka minētā procedūra un struktūras ir datu subjektiem un sabiedrībai pārredzamas; un |
| (e) | demonstrated, to the satisfaction of the competent supervisory authority, that their tasks and duties do not result in a conflict of interests. | e) | kompetentajai uzraudzības iestādei ir uzskatāmi parādījušas, ka to uzdevumi un pienākumi nerada interešu konfliktu. |
| 3. The accreditation of certification bodies as referred to in paragraphs 1 and 2 of this Article shall take place on the basis of criteria approved by the supervisory authority which is competent pursuant to Article 55 or 56 or by the Board pursuant to Article 63. In the case of accreditation pursuant to point (b) of paragraph 1 of this Article, those requirements shall complement those envisaged in Regulation (EC) No 765/2008 and the technical rules that describe the methods and procedures of the certification bodies. | 3. Šā panta 1. un 2. punktā minēto sertifikācijas struktūru akreditāciju veic, pamatojoties uz kritērijiem, ko apstiprinājusi uzraudzības iestāde, kura ir kompetenta, ievērojot 55. vai 56. pantu, vai kolēģija, ievērojot 63. pantu. Ja akreditāciju veic, ievērojot šā panta 1. punkta b) apakšpunktu, minētās prasības papildina prasības, kas paredzētas Regulā (EK) Nr. 765/2008, un tehniskos noteikumus, kuros aprakstītas sertifikācijas struktūru metodes un procedūras. |
| 4. The certification bodies referred to in paragraph 1 shall be responsible for the proper assessment leading to the certification or the withdrawal of such certification without prejudice to the responsibility of the controller or processor for compliance with this Regulation. The accreditation shall be issued for a maximum period of five years and may be renewed on the same conditions provided that the certification body meets the requirements set out in this Article. | 4. Šā panta 1. punktā minētās sertifikācijas struktūras ir atbildīgas par to, lai sertifikāts tiktu piešķirts vai šāds sertifikāts tiktu atsaukts pēc pienācīgi veikta novērtējuma, neskarot pārziņa vai apstrādātāja pienākumu ievērot šo regulu. Akreditāciju piešķir uz laikposmu, kas nepārsniedz piecus gadus, un to var atjaunot ar tādiem pašiem nosacījumiem ar noteikumu, ka sertifikācijas struktūra atbilst šajā pantā izklāstītajām prasībām. |
| 5. The certification bodies referred to in paragraph 1 shall provide the competent supervisory authorities with the reasons for granting or withdrawing the requested certification. | 5. Šā panta 1. punktā minētās sertifikācijas struktūras sniedz kompetentajām uzraudzības iestādēm informāciju par prasītā sertifikāta piešķiršanas vai atsaukšanas iemesliem. |
| 6. The requirements referred to in paragraph 3 of this Article and the criteria referred to in Article 42(5) shall be made public by the supervisory authority in an easily accessible form. The supervisory authorities shall also transmit those requirements and criteria to the Board. The Board shall collate all certification mechanisms and data protection seals in a register and shall make them publicly available by any appropriate means. | 6. Uzraudzības iestāde viegli pieejamā veidā publisko šā panta 3. punktā minētās prasības un 42. panta 5. punktā minētos kritērijus. Uzraudzības iestādes minētās prasības un kritērijus iesniedz arī kolēģijai. Kolēģija visus sertifikācijas mehānismus un datu aizsardzības zīmogus sakopo reģistrā un dara tos publiski pieejamus, izmantojot jebkādus piemērotus līdzekļus. |
| 7. Without prejudice to Chapter VIII, the competent supervisory authority or the national accreditation body shall revoke an accreditation of a certification body pursuant to paragraph 1 of this Article where the conditions for the accreditation are not, or are no longer, met or where actions taken by a certification body infringe this Regulation. | 7. Neskarot VIII nodaļu, kompetentā uzraudzības iestāde vai valsts akreditācijas struktūra atsauc sertifikācijas struktūras akreditāciju, ievērojot šā panta 1. punktu, ja nav izpildīti vai vairs netiek pildīti akreditācijas nosacījumi vai ja sertifikācijas struktūras veiktās darbības pārkāpj šo regulu. |
| 8. The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of specifying the requirements to be taken into account for the data protection certification mechanisms referred to in Article 42(1). | 8. Komisija tiek pilnvarota pieņemt deleģētos aktus saskaņā ar 92. pantu nolūkā precizēt prasības, kas jāņem vērā attiecībā uz 42. panta 1. punktā minētajiem datu aizsardzības sertifikācijas mehānismiem. |
| 9. The Commission may adopt implementing acts laying down technical standards for certification mechanisms and data protection seals and marks, and mechanisms to promote and recognise those certification mechanisms, seals and marks. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2). | 9. Komisija var pieņemt īstenošanas aktus, ar ko nosaka tehniskos standartus sertifikācijas mehānismiem un datu aizsardzības zīmogiem un marķējumiem, un mehānismus minēto sertifikācijas mehānismu, zīmogu un marķējumu popularizēšanai un atzīšanai. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru. |
| CHAPTER V | V NODAĻA |
| Transfers of personal data to third countries or international organisations | Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām |
| Article 44 | 44. pants |
| General principle for transfers | Nosūtīšanas vispārīgie principi |
| Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined. | Personas datus, kas tiek apstrādāti vai kurus ir paredzēts apstrādāt pēc nosūtīšanas uz trešo valsti vai starptautisku organizāciju, nosūta tikai tad, ja, ņemot vērā citus šīs regulas noteikumus, pārzinis un apstrādātājs ir ievērojuši šajā nodaļā paredzētos nosacījumus, ietverot arī personas datu tālāku nosūtīšanu no trešās valsts vai starptautiskās organizācijas uz citu trešo valsti vai citu starptautisku organizāciju. Piemēro visus šīs nodaļas noteikumus, lai nodrošinātu, ka nemazinās ar šo regulu garantētais fizisku personu aizsardzības līmenis. |
| Article 45 | 45. pants |
| Transfers on the basis of an adequacy decision | Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību |
| 1. A transfer of personal data to a third country or an international organisation may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation. | 1. Personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju var veikt, ja Komisija ir nolēmusi, ka trešā valsts, kāda minētās trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai attiecīgā starptautiskā organizācija nodrošina pietiekamu aizsardzības līmeni. Šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja. |
| 2. When assessing the adequacy of the level of protection, the Commission shall, in particular, take account of the following elements: | 2. Izvērtējot aizsardzības līmeņa pietiekamību, Komisija jo īpaši ņem vērā šādus elementus: |
| (a) | the rule of law, respect for human rights and fundamental freedoms, relevant legislation, both general and sectoral, including concerning public security, defence, national security and criminal law and the access of public authorities to personal data, as well as the implementation of such legislation, data protection rules, professional rules and security measures, including rules for the onward transfer of personal data to another third country or international organisation which are complied with in that country or international organisation, case-law, as well as effective and enforceable data subject rights and effective administrative and judicial redress for the data subjects whose personal data are being transferred; | a) | tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, attiecīgie tiesību akti, gan vispārējie, gan nozaru, tostarp attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību un krimināltiesībām un publisko iestāžu piekļuvi personas datiem, kā arī šādu tiesību aktu, datu aizsardzības noteikumu, dienesta noteikumu un drošības pasākumu īstenošana, tostarp noteikumi par personas datu tālāku nosūtīšanu uz citu trešo valsti vai starptautisko organizāciju, kurus ievēro minētajā valstī vai minētajā starptautiskajā organizācijā, judikatūra, kā arī tas, vai pastāv efektīvas un tiesiski īstenojamas datu subjektu tiesības un efektīva aizsardzība administratīvā kārtā vai tiesā tiem datu subjektiem, kuru personas datus nosūta; |
| (b) | the existence and effective functioning of one or more independent supervisory authorities in the third country or to which an international organisation is subject, with responsibility for ensuring and enforcing compliance with the data protection rules, including adequate enforcement powers, for assisting and advising the data subjects in exercising their rights and for cooperation with the supervisory authorities of the Member States; and | b) | tas, vai attiecīgajā trešā valstī vai attiecībā uz starptautisko organizāciju pastāv un efektīvi darbojas viena vai vairākas neatkarīgas uzraudzības iestādes, kuras ir atbildīgas par datu aizsardzības noteikumu ievērošanas nodrošināšanu un īstenošanu, tostarp ar adekvātām izpildes pilnvarām, par palīdzību un konsultāciju sniegšanu datu subjektiem saistībā ar viņu tiesību īstenošanu un par sadarbību ar dalībvalstu uzraudzības iestādēm; un |
| (c) | the international commitments the third country or international organisation concerned has entered into, or other obligations arising from legally binding conventions or instruments as well as from its participation in multilateral or regional systems, in particular in relation to the protection of personal data. | c) | starptautiskās saistības, ko ir uzņēmusies attiecīgā trešā valsts vai starptautiskā organizācija, vai citi pienākumi, kas izriet no juridiski saistošām konvencijām vai instrumentiem, kā arī no tās dalības daudzpusējās vai reģionālās sistēmās, jo īpaši saistībā ar personas datu aizsardzību. |
| 3. The Commission, after assessing the adequacy of the level of protection, may decide, by means of implementing act, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2 of this Article. The implementing act shall provide for a mechanism for a periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation. The implementing act shall specify its territorial and sectoral application and, where applicable, identify the supervisory authority or authorities referred to in point (b) of paragraph 2 of this Article. The implementing act shall be adopted in accordance with the examination procedure referred to in Article 93(2). | 3. Komisija pēc aizsardzības līmeņa pietiekamības izvērtēšanas ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē. Īstenošanas aktā paredz periodiskas, vismaz reizi četros gados notiekošas pārskatīšanas mehānismu, kurā ņem vērā visas attiecīgās norises trešajā valstī vai starptautiskajā organizācijā. Īstenošanas aktā precizē tā teritoriālo un sektoriālo piemērošanu un attiecīgā gadījumā norāda šā panta 2. punkta b) apakšpunktā minēto uzraudzības iestādi vai iestādes. Īstenošanas aktu pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā. |
| 4. The Commission shall, on an ongoing basis, monitor developments in third countries and international organisations that could affect the functioning of decisions adopted pursuant to paragraph 3 of this Article and decisions adopted on the basis of Article 25(6) of Directive 95/46/EC. | 4. Komisija trešās valstīs un starptautiskajās organizācijās pastāvīgi uzrauga norises, kas varētu ietekmēt saskaņā ar šā panta 3. punktu pieņemto lēmumu un, balstoties uz Direktīvas 95/46/EK 25. panta 6. punktu, pieņemto lēmumu darbību. |
| 5. The Commission shall, where available information reveals, in particular following the review referred to in paragraph 3 of this Article, that a third country, a territory or one or more specified sectors within a third country, or an international organisation no longer ensures an adequate level of protection within the meaning of paragraph 2 of this Article, to the extent necessary, repeal, amend or suspend the decision referred to in paragraph 3 of this Article by means of implementing acts without retro-active effect. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2). | 5. Ja pieejamā informācija, jo īpaši pēc šā panta 3. punktā minētās pārskatīšanas, liecina, ka kāda trešā valsts, teritorija vai viens vai vairāki konkrēti sektori trešā valstī, vai kāda starptautiska organizācija vairs nenodrošina pietiekamu aizsardzības līmeni šā panta 2. punkta nozīmē, Komisija, pieņemot īstenošanas aktus, ciktāl tas nepieciešams atceļ, groza vai aptur šā panta 3. punktā minēto lēmumu bez atpakaļejoša spēka. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru. |
| On duly justified imperative grounds of urgency, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 93(3). | Pienācīgi pamatotu nenovēršamu un steidzamu iemeslu dēļ Komisija saskaņā ar procedūru, kura minēta 93. panta 3. punktā, pieņem īstenošanas aktus, kas jāpiemēro nekavējoties. |
| 6. The Commission shall enter into consultations with the third country or international organisation with a view to remedying the situation giving rise to the decision made pursuant to paragraph 5. | 6. Komisija ar trešo valsti vai starptautisko organizāciju sāk konsultācijas, lai labotu stāvokli, kura dēļ saskaņā ar 5. punktu ir pieņemts lēmums. |
| 7. A decision pursuant to paragraph 5 of this Article is without prejudice to transfers of personal data to the third country, a territory or one or more specified sectors within that third country, or the international organisation in question pursuant to Articles 46 to 49. | 7. Saskaņā ar šā panta 5. punktu pieņemts lēmums neskar personas datu nosūtīšanu uz trešo valsti, teritoriju vai vienu vai vairākiem konkrētiem sektoriem minētajā trešā valstī, vai attiecīgu starptautisku organizāciju atbilstīgi 46.–49. pantam. |
| 8. The Commission shall publish in the Official Journal of the European Union and on its website a list of the third countries, territories and specified sectors within a third country and international organisations for which it has decided that an adequate level of protection is or is no longer ensured. | 8. Komisija Eiropas Savienības Oficiālajā Vēstnesī un savā tīmekļa vietnē publicē sarakstu ar tām trešām valstīm, teritorijām un konkrētiem sektoriem trešā valstī un starptautiskām organizācijām, attiecībā uz kurām tā ir pieņēmusi lēmumu, ka ir vai vairs nav nodrošināts pietiekams aizsardzības līmenis. |
| 9. Decisions adopted by the Commission on the basis of Article 25(6) of Directive 95/46/EC shall remain in force until amended, replaced or repealed by a Commission Decision adopted in accordance with paragraph 3 or 5 of this Article. | 9. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 25. panta 6. punktu, ir spēkā, kamēr tos negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 3. vai 5. punktu. |
| Article 46 | 46. pants |
| Transfers subject to appropriate safeguards | Nosūtīšana, pamatojoties uz atbilstošām garantijām |
| 1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available. | 1. Ja nav pieņemts lēmums saskaņā ar 45. panta 3. punktu, pārzinis vai apstrādātājs var nosūtīt personas datus uz trešo valsti vai uz starptautisku organizāciju tikai tad, ja pārzinis vai apstrādātājs ir sniedzis atbilstošas garantijas, un ar nosacījumu, ka datu subjektiem ir pieejamas īstenojamas datu subjekta tiesības un efektīvi tiesiskās aizsardzības līdzekļi. |
| 2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by: | 2. Šā panta 1. punktā minētās atbilstošās garantijas, uzraudzības iestādei neprasot īpašu atļauju, var tikt nodrošinātas ar: |
| (a) | a legally binding and enforceable instrument between public authorities or bodies; | a) | starp publiskām iestādēm vai struktūrām juridiski saistošu un tiesiski īstenojamu instrumentu; |
| (b) | binding corporate rules in accordance with Article 47; | b) | saistošiem uzņēmuma noteikumiem saskaņā ar 47. pantu; |
| (c) | standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2); | c) | standarta datu aizsardzības klauzulām, ko Komisija pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru; |
| (d) | standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2); | d) | standarta datu aizsardzības klauzulām, ko pieņem uzraudzības iestāde un apstiprina Komisija saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru; |
| (e) | an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights; or | e) | saskaņā ar 40. pantu apstiprinātu rīcības kodeksu kopā ar trešās valsts datu pārziņa vai apstrādātāja saistošām un tiesiski īstenojamām saistībām piemērot atbilstošās garantijas, tostarp attiecībā uz datu subjekta tiesībām; vai |
| (f) | an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights. | f) | saskaņā ar 42. pantu apstiprinātu sertifikācijas mehānismu kopā ar trešās valsts datu pārziņa vai apstrādātāja saistošām un tiesiski īstenojamām saistībām piemērot atbilstošas garantijas, tostarp attiecībā uz datu subjektu tiesībām. |
| 3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by: | 3. Ja kompetentā uzraudzības iestāde dod tādu atļauju, tad 1. punktā minētās atbilstošās garantijas var arī nodrošināt jo īpaši ar: |
| (a) | contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or | a) | starp pārzini vai apstrādātāju un trešā valstī vai starptautiskā organizācijā esošu pārzini, apstrādātāju vai personas datu saņēmēju noslēgtu līgumu klauzulām; vai |
| (b) | provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights. | b) | noteikumiem, kuri iekļaujami administratīvajās vienošanās starp publiskām iestādēm vai struktūrām un kuri ietver īstenojamas un efektīvas datu subjektu tiesības. |
| 4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article. | 4. Uzraudzības iestāde šā panta 3. punktā minētajos gadījumos piemēro konsekvences mehānismu, kas minēts 63. pantā. |
| 5. Authorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26(4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article. | 5. Dalībvalsts vai uzraudzības iestādes atļaujas, kas izsniegtas saskaņā ar Direktīvas 95/46/EK 26. panta 2. punktu, ir spēkā, kamēr minētā uzraudzības iestāde tās vajadzības gadījumā negroza, neaizstāj vai neatceļ. Lēmumi, ko Komisija pieņēmusi, pamatojoties uz Direktīvas 95/46/EK 26. panta 4. punktu, ir spēkā, kamēr tos vajadzības gadījumā negroza, neaizstāj vai neatceļ ar Komisijas lēmumu, kas pieņemts saskaņā ar šā panta 2. punktu. |
| Article 47 | 47. pants |
| Binding corporate rules | Saistoši uzņēmuma noteikumi |
| 1. The competent supervisory authority shall approve binding corporate rules in accordance with the consistency mechanism set out in Article 63, provided that they: | 1. Kompetentā uzraudzības iestāde apstiprina saistošos uzņēmuma noteikumus saskaņā ar 63. pantā minēto konsekvences mehānismu ar noteikumu, ka tie: |
| (a) | are legally binding and apply to and are enforced by every member concerned of the group of undertakings, or group of enterprises engaged in a joint economic activity, including their employees; | a) | ir juridiski saistoši, un tie tiek piemēroti, un tos īsteno katrs attiecīgais uzņēmumu grupas loceklis vai katrs tādas uzņēmējsabiedrību grupas loceklis, kas iesaistīti kopīgā saimnieciskā darbībā, tostarp to darbinieki; |
| (b) | expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and | b) | skaidri piešķir īstenojamas tiesības datu subjektiem attiecībā uz personas datu apstrādi; un |
| (c) | fulfil the requirements laid down in paragraph 2. | c) | atbilst 2. punktā izklāstītajām prasībām. |
| 2. The binding corporate rules referred to in paragraph 1 shall specify at least: | 2. Saistošajos uzņēmuma noteikumos, kas minēti 1. punktā, norāda vismaz: |
| (a) | the structure and contact details of the group of undertakings, or group of enterprises engaged in a joint economic activity and of each of its members; | a) | katras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, un katra tās locekļa struktūru un kontaktinformāciju; |
| (b) | the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question; | b) | datu nosūtīšanu vai vairākkārtēju nosūtīšanu, ietverot personas datu kategorijas, apstrādes veidu un nolūkus, attiecīgo datu subjektu veidu un attiecīgās trešās valsts vai valstu identifikāciju; |
| (c) | their legally binding nature, both internally and externally; | c) | to juridiski gan iekšēji, gan ārēji saistošo raksturu; |
| (d) | the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules; | d) | vispārīgo datu aizsardzības principu piemērošanu, jo īpaši nolūka ierobežojumus, datu minimizēšanu, ierobežotus glabāšanas laikposmus, datu kvalitāti, integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, apstrādes juridisko pamatu, konkrētu personas datu kategoriju apstrādi, pasākumus datu drošības nodrošināšanai un prasības attiecībā uz tālāku nosūtīšanu struktūrām, uz kurām neattiecas saistoši uzņēmuma noteikumi; |
| (e) | the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 79, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules; | e) | datu subjektu tiesības attiecībā uz apstrādi un līdzekļus minēto tiesību īstenošanai, ietverot tiesības nebūt tādu lēmumu subjektam, kuru pamatā ir vienīgi automatizēta apstrāde, tostarp profilēšana, saskaņā ar 22. pantu, tiesības iesniegt sūdzību kompetentai uzraudzības iestādei un kompetentai tiesai dalībvalstīs saskaņā ar 79. pantu un tiesības uz tiesību aizsardzību un vajadzības gadījumā uz kompensāciju saistošo uzņēmuma noteikumu pārkāpuma gadījumā; |
| (f) | the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member concerned not established in the Union; the controller or the processor shall be exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the damage; | f) | pārziņa vai apstrādātāja, kas veic uzņēmējdarbību dalībvalsts teritorijā, piekrišanu, ka tas uzņemas atbildību par saistošo uzņēmuma noteikumu pārkāpumu, ko izdara jebkurš attiecīgais loceklis, kas neveic uzņēmējdarbību Savienībā; pārzini vai apstrādātāju pilnībā vai daļēji atbrīvo no minētās atbildības tikai tad, ja pierāda, ka minētais loceklis nav atbildīgs par notikumu, ar ko nodarīts kaitējums; |
| (g) | how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in addition to Articles 13 and 14; | g) | kā papildus 13. un 14. pantā minētajai informācijai datu subjektam tiek sniegta informācija par saistošiem uzņēmuma noteikumiem, jo īpaši par noteikumiem, kas minēti šā punkta d), e) un f) apakšpunktā; |
| (h) | the tasks of any data protection officer designated in accordance with Article 37 or any other person or entity in charge of the monitoring compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling; | h) | jebkura saskaņā ar 37. pantu ieceltā datu aizsardzības speciālista uzdevumus vai jebkuras citas personas vai vienības uzdevumus, kas ir atbildīga par to, lai uzraudzītu, kā uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, tiek ievēroti saistošie uzņēmuma noteikumi, kā arī uzdevumu uzraudzīt apmācības un sūdzību izskatīšanu; |
| (i) | the complaint procedures; | i) | sūdzību procedūras; |
| (j) | the mechanisms within the group of undertakings, or group of enterprises engaged in a joint economic activity for ensuring the verification of compliance with the binding corporate rules. Such mechanisms shall include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. Results of such verification should be communicated to the person or entity referred to in point (h) and to the board of the controlling undertaking of a group of undertakings, or of the group of enterprises engaged in a joint economic activity, and should be available upon request to the competent supervisory authority; | j) | uzņēmumu grupā vai uzņēmējsabiedrību grupā, kas iesaistīta kopīgā saimnieciskā darbībā, izveidotos mehānismus, lai nodrošinātu verifikāciju par saistošo uzņēmuma noteikumu ievērošanu. Šādi mehānismi ietver datu aizsardzības revīziju un metodes, ar kurām nodrošina korektīvu rīcību, lai aizsargātu datu subjekta tiesības. Šādas verifikācijas rezultāti būtu jāpaziņo h) apakšpunktā minētai personai vai vienībai un uzņēmumu grupas kontrolējošā uzņēmuma valdei vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, valdei, un tiem pēc pieprasījuma vajadzētu būt pieejamiem kompetentajai uzraudzības iestādei; |
| (k) | the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authority; | k) | mehānismus, kas izveidoti, lai ziņotu par izmaiņām noteikumos un tās reģistrētu, un lai paziņotu par minētajām izmaiņām uzraudzības iestādei; |
| (l) | the cooperation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, or group of enterprises engaged in a joint economic activity, in particular by making available to the supervisory authority the results of verifications of the measures referred to in point (j); | l) | sadarbības mehānismu ar uzraudzības iestādi, lai nodrošinātu, ka visi uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, locekļi ievēro noteikumus, jo īpaši darot uzraudzības iestādei pieejamus j) apakšpunktā minēto pasākumu verifikāciju rezultātus; |
| (m) | the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group of undertakings, or group of enterprises engaged in a joint economic activity is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and | m) | mehānismus, lai ziņotu kompetentajai uzraudzības iestādei par jebkādām juridiskajām prasībām, kuras uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīti kopīgā saimnieciskā darbībā, loceklim piemēro trešā valstī un kurām var būt ievērojama nelabvēlīga ietekme uz garantijām, ko paredz saistoši uzņēmuma noteikumi; un |
| (n) | the appropriate data protection training to personnel having permanent or regular access to personal data. | n) | piemērotu datu aizsardzības apmācību personālam, kuram ir pastāvīga vai regulāra piekļuve personas datiem. |
| 3. The Commission may specify the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2). | 3. Komisija var noteikt formātu un procedūras informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm saistībā ar saistošiem uzņēmuma noteikumiem šā panta nozīmē. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā. |
| Article 48 | 48. pants |
| Transfers or disclosures not authorised by Union law | Datu nosūtīšana vai izpaušana, kas saskaņā ar Savienības tiesību aktiem nav atļauta |
| Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter. | Neskarot citus nosūtīšanas pamatus saskaņā ar šo nodaļu, ikviens trešās valsts tiesas spriedums un ikviens trešās valsts administratīvās iestādes lēmums, kurā pārzinim vai apstrādātājam pieprasīts nosūtīt vai izpaust personas datus, var tikt atzīts vai būt izpildāms vienīgi tad, ja tas ir balstīts uz starptautisku nolīgumu, piemēram, savstarpējas tiesiskās palīdzības līgumu, kas ir spēkā starp pieprasītāju trešo valsti un Savienību vai kādu tās dalībvalsti. |
| Article 49 | 49. pants |
| Derogations for specific situations | Atkāpes īpašās situācijās |
| 1. In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions: | 1. Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību saskaņā ar 45. panta 3. punktu vai nav nodrošinātas atbilstošas garantijas saskaņā ar 46. pantu, tostarp saistoši uzņēmuma noteikumi, personas datu nosūtīšana vai vairākkārtēja nosūtīšana uz trešo valsti vai starptautisku organizāciju notiek tikai tad, ja izpildīts viens no turpmāk minētajiem nosacījumiem: |
| (a) | the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards; | a) | datu subjekts ir skaidri piekritis ierosinātajai nosūtīšanai pēc tam, kad ir ticis informēts par iespējamiem riskiem, ko šāda nosūtīšana var radīt datu subjektam lēmuma par aizsardzības līmeņa pietiekamību un atbilstošu garantiju trūkuma dēļ; |
| (b) | the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject's request; | b) | nosūtīšana ir vajadzīga, lai izpildītu līgumu starp datu subjektu un pārzini vai īstenotu pasākumus pirms līguma noslēgšanas, kas pieņemti pēc datu subjekta pieprasījuma; |
| (c) | the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person; | c) | nosūtīšana ir vajadzīga līguma noslēgšanai starp pārzini un citu fizisku vai juridisku personu datu subjekta interesēs vai šāda līguma izpildei; |
| (d) | the transfer is necessary for important reasons of public interest; | d) | nosūtīšana ir nepieciešama, ja ir svarīgi iemesli sabiedrības interesēs; |
| (e) | the transfer is necessary for the establishment, exercise or defence of legal claims; | e) | nosūtīšana ir vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības; |
| (f) | the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent; | f) | nosūtīšana ir vajadzīga, lai aizsargātu datu subjekta vai citu personu īpaši svarīgas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu; |
| (g) | the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, but only to the extent that the conditions laid down by Union or Member State law for consultation are fulfilled in the particular case. | g) | nosūtīšanu izdara no reģistra, kurš saskaņā ar Savienības vai dalībvalsts tiesību aktiem ir paredzēts, lai sniegtu informāciju sabiedrībai, un kuru var izmantot vai nu plaša sabiedrība, vai jebkura persona, kas var pierādīt savas leģitīmās intereses, taču vienīgi tiktāl, ciktāl konkrētajā gadījumā tiek pildīti Savienības vai dalībvalsts tiesību aktos paredzētie izmantošanas nosacījumi. |
| Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued. | Ja nosūtīšanu nevar balstīt uz 45. vai 46. pantā ietvertu noteikumu, tostarp noteikumu par saistošiem uzņēmuma noteikumiem, un nav piemērojama neviena no atkāpēm īpašās situācijās saskaņā ar šā punkta pirmo daļu, nosūtīšana uz trešo valsti vai starptautisku organizāciju var notikt tikai tad, ja nosūtīšana neatkārtojas, attiecas vienīgi uz ierobežotu skaitu datu subjektu, ir vajadzīga pārziņa pārliecinošām leģitīmām interesēm, attiecībā uz kurām datu subjekta intereses vai tiesības un brīvības nav svarīgākas, un pārzinis ir novērtējis visus apstākļus saistībā ar datu nosūtīšanu un, pamatojoties uz minēto novērtējumu, ir sniedzis atbilstošas garantijas attiecībā uz personas datu aizsardzību. Pārzinis par nosūtīšanu informē uzraudzības iestādi. Papildus 13. un 14. pantā minētās informācijas sniegšanai pārzinis informē datu subjektu par nosūtīšanu un par pārliecinošām leģitīmām interesēm. |
| 2. A transfer pursuant to point (g) of the first subparagraph of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register. Where the register is intended for consultation by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients. | 2. Nosūtot datus saskaņā ar 1. punkta pirmās daļas g) apakšpunktu, nenosūta pilnīgi visus reģistrā ietvertos personas datus vai veselas personas datu kategorijas. Ja reģistrs ir paredzēts, lai to varētu izmantot personas, kurām ir leģitīmas intereses, datus nosūta tikai pēc minēto personu pieprasījuma vai ja šīs personas ir datu saņēmēji. |
| 3. Points (a), (b) and (c) of the first subparagraph of paragraph 1 and the second subparagraph thereof shall not apply to activities carried out by public authorities in the exercise of their public powers. | 3. Šā panta 1. punkta pirmās daļas a), b) un c) apakšpunktu un otro daļu nepiemēro publisko iestāžu darbībai, kad tās īsteno savas publiskās pilnvaras. |
| 4. The public interest referred to in point (d) of the first subparagraph of paragraph 1 shall be recognised in Union law or in the law of the Member State to which the controller is subject. | 4. Sabiedrības intereses, kas minētas 1. punkta pirmās daļas d) apakšpunktā, ir atzītas Savienības tiesībās vai tās dalībvalsts tiesībās, kas ir piemērojamas pārzinim. |
| 5. In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of personal data to a third country or an international organisation. Member States shall notify such provisions to the Commission. | 5. Ja nav lēmuma par aizsardzības līmeņa pietiekamību, Savienības vai dalībvalsts tiesību aktos, ja ir svarīgi iemesli sabiedrības interesēs, skaidri nosaka ierobežojumus attiecībā uz konkrētu kategoriju personas datu nosūtīšanu uz trešo valsti vai starptautisku organizāciju. Dalībvalstis par jebkādiem šādiem noteikumiem paziņo Komisijai. |
| 6. The controller or processor shall document the assessment as well as the suitable safeguards referred to in the second subparagraph of paragraph 1 of this Article in the records referred to in Article 30. | 6. Pārzinis vai apstrādātājs 30. pantā minētajos datu reģistros dokumentē novērtējumu, kā arī šā panta 1. punkta otrajā daļā izklāstītās atbilstošās garantijas. |
| Article 50 | 50. pants |
| International cooperation for the protection of personal data | Starptautiskā sadarbība personas datu aizsardzības jomā |
| In relation to third countries and international organisations, the Commission and supervisory authorities shall take appropriate steps to: | Attiecībā uz trešām valstīm un starptautiskām organizācijām Komisija un uzraudzības iestādes veic atbilstošus pasākumus, lai: |
| (a) | develop international cooperation mechanisms to facilitate the effective enforcement of legislation for the protection of personal data; | a) | izstrādātu starptautiskās sadarbības mehānismus, kas veicina personas datu aizsardzības tiesību aktu efektīvu izpildi; |
| (b) | provide international mutual assistance in the enforcement of legislation for the protection of personal data, including through notification, complaint referral, investigative assistance and information exchange, subject to appropriate safeguards for the protection of personal data and other fundamental rights and freedoms; | b) | sniegtu starptautisku savstarpēju palīdzību personas datu aizsardzības tiesību aktu izpildei, ietverot paziņošanu, sūdzību tālāku nosūtīšanu, palīdzību izmeklēšanai un informācijas apmaiņu, ievērojot atbilstošas garantijas attiecībā uz personas datu aizsardzību un citas pamattiesības un pamatbrīvības; |
| (c) | engage relevant stakeholders in discussion and activities aimed at furthering international cooperation in the enforcement of legislation for the protection of personal data; | c) | iesaistītu attiecīgās ieinteresētās personas diskusijās un pasākumos, kuru mērķis ir padziļināt starptautisko sadarbību datu aizsardzības tiesību aktu izpildē; |
| (d) | promote the exchange and documentation of personal data protection legislation and practice, including on jurisdictional conflicts with third countries. | d) | veicinātu personas datu aizsardzības tiesību aktu un prakses piemēru apmaiņu un dokumentēšanu, tostarp attiecībā uz jurisdikcijas konfliktiem ar trešām valstīm. |
| CHAPTER VI | VI NODAĻA |
| Independent supervisory authorities | Neatkarīgas uzraudzības iestādes |
| Section 1 | 1. iedaļa |
| Independent status | Neatkarība |
| Article 51 | 51. pants |
| Supervisory authority | Uzraudzības iestāde |
| 1. Each Member State shall provide for one or more independent public authorities to be responsible for monitoring the application of this Regulation, in order to protect the fundamental rights and freedoms of natural persons in relation to processing and to facilitate the free flow of personal data within the Union (‘supervisory authority’). | 1. Katra dalībvalsts paredz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par šīs regulas piemērošanas uzraudzību, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar apstrādi un veicinātu personas datu brīvu apriti Savienībā (“uzraudzības iestāde”). |
| 2. Each supervisory authority shall contribute to the consistent application of this Regulation throughout the Union. For that purpose, the supervisory authorities shall cooperate with each other and the Commission in accordance with Chapter VII. | 2. Katra uzraudzības iestāde palīdz nodrošināt šīs regulas konsekventu piemērošanu visā Savienībā. Minētajā nolūkā uzraudzības iestādes sadarbojas cita ar citu un ar Komisiju saskaņā ar VII nodaļu. |
| 3. Where more than one supervisory authority is established in a Member State, that Member State shall designate the supervisory authority which is to represent those authorities in the Board and shall set out the mechanism to ensure compliance by the other authorities with the rules relating to the consistency mechanism referred to in Article 63. | 3. Ja dalībvalstī ir vairāk nekā viena uzraudzības iestāde, minētā dalībvalsts ieceļ uzraudzības iestādi, kas pārstāv minētās iestādes kolēģijā, un izstrādā mehānismus, kas nodrošina, ka pārējās iestādes ievēro 63. panta noteikumus par konsekvences mehānismu. |
| 4. Each Member State shall notify to the Commission the provisions of its law which it adopts pursuant to this Chapter, by 25 May 2018 and, without delay, any subsequent amendment affecting them. | 4. Līdz 2018. gada 25. maijam katra dalībvalsts paziņo Komisijai noteikumus, ko tā pieņem saskaņā ar šo nodaļu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem. |
| Article 52 | 52. pants |
| Independence | Neatkarība |
| 1. Each supervisory authority shall act with complete independence in performing its tasks and exercising its powers in accordance with this Regulation. | 1. Katra uzraudzības iestāde rīkojas pilnīgi neatkarīgi, pildot savus uzdevumus un īstenojot savas pilnvaras saskaņā ar šo regulu. |
| 2. The member or members of each supervisory authority shall, in the performance of their tasks and exercise of their powers in accordance with this Regulation, remain free from external influence, whether direct or indirect, and shall neither seek nor take instructions from anybody. | 2. Katras uzraudzības iestādes loceklis vai locekļi, pildot uzdevumus un īstenojot pilnvaras saskaņā ar šo regulu, ir brīvi no ārējas – tiešas vai netiešas – ietekmes un ne no viena nelūdz un nepieņem norādījumus. |
| 3. Member or members of each supervisory authority shall refrain from any action incompatible with their duties and shall not, during their term of office, engage in any incompatible occupation, whether gainful or not. | 3. Katras uzraudzības iestādes loceklis vai locekļi atturas veikt jebkādas darbības, kas nav savienojamas ar viņu pienākumiem, un, esot amatā, neuzņemas nekādu citu nesavienojamu algotu vai nealgotu darbu. |
| 4. Each Member State shall ensure that each supervisory authority is provided with the human, technical and financial resources, premises and infrastructure necessary for the effective performance of its tasks and exercise of its powers, including those to be carried out in the context of mutual assistance, cooperation and participation in the Board. | 4. Katra dalībvalsts nodrošina, lai katrai uzraudzības iestādei būtu piešķirti cilvēkresursi, tehniskie un finanšu resursi, telpas un infrastruktūra, kas nepieciešami efektīvai tās uzdevumu izpildei un pilnvaru īstenošanai, tostarp arī tādu uzdevumu izpildei un pilnvaru īstenošanai, kuri jāveic saistībā ar savstarpējo palīdzību, sadarbību un dalību kolēģijā. |
| 5. Each Member State shall ensure that each supervisory authority chooses and has its own staff which shall be subject to the exclusive direction of the member or members of the supervisory authority concerned. | 5. Katra dalībvalsts nodrošina, lai katra uzraudzības iestāde izraudzītos personālu un lai tai būtu pašai savs personāls, kas būtu pakļauts vienīgi attiecīgās uzraudzības iestādes locekļa vai locekļu vadībai. |
| 6. Each Member State shall ensure that each supervisory authority is subject to financial control which does not affect its independence and that it has separate, public annual budgets, which may be part of the overall state or national budget. | 6. Katra dalībvalsts nodrošina, lai katra uzraudzības iestāde būtu pakļauta tādai finanšu kontrolei, kas neietekmē tās neatkarību, un lai tai būtu atsevišķs publisks gada budžets, kas var būt daļa no kopējā valsts budžeta. |
| Article 53 | 53. pants |
| General conditions for the members of the supervisory authority | Vispārīgi noteikumi par uzraudzības iestādes locekļiem |
| 1. Member States shall provide for each member of their supervisory authorities to be appointed by means of a transparent procedure by: | 1. Dalībvalstis paredz, ka katru to uzraudzības iestāžu locekli, izmantojot pārredzamu procedūru, amatā ieceļ: |
| — | their parliament; | — | to parlamenti, |
| — | their government; | — | to valdības, |
| — | their head of State; or | — | to valsts vadītāji vai |
| — | an independent body entrusted with the appointment under Member State law. | — | neatkarīga struktūra, kurai saskaņā ar dalībvalsts tiesību aktiem ir uzticēta iecelšana amatā. |
| 2. Each member shall have the qualifications, experience and skills, in particular in the area of the protection of personal data, required to perform its duties and exercise its powers. | 2. Katram loceklim ir tāda kvalifikācija, pieredze un prasmes, jo īpaši personas datu aizsardzības jomā, kuras vajadzīgas, lai pildītu savus pienākumus un īstenotu savas pilnvaras. |
| 3. The duties of a member shall end in the event of the expiry of the term of office, resignation or compulsory retirement, in accordance with the law of the Member State concerned. | 3. Locekļa pienākumi beidzas līdz ar amata pilnvaru termiņa beigām, atkāpjoties no amata vai atlaišanas gadījumā, saskaņā ar attiecīgās dalībvalsts tiesību aktiem. |
| 4. A member shall be dismissed only in cases of serious misconduct or if the member no longer fulfils the conditions required for the performance of the duties. | 4. Locekli atbrīvo no amata tikai amata pienākumu smaga pārkāpuma gadījumos vai tad, ja viņš vairs neatbilst nosacījumiem, kas izvirzīti, lai pildītu pienākumus. |
| Article 54 | 54. pants |
| Rules on the establishment of the supervisory authority | Noteikumi par uzraudzības iestādes izveidi |
| 1. Each Member State shall provide by law for all of the following: | 1. Katra dalībvalsts tiesību aktos paredz visu turpmāk minēto: |
| (a) | the establishment of each supervisory authority; | a) | katras uzraudzības iestādes izveidi; |
| (b) | the qualifications and eligibility conditions required to be appointed as member of each supervisory authority; | b) | kvalifikāciju un atbilstības nosacījumus, kas izvirzīti iecelšanai par locekli katrā no uzraudzības iestādēm; |
| (c) | the rules and procedures for the appointment of the member or members of each supervisory authority; | c) | noteikumus un procedūras locekļa vai locekļu iecelšanai katrā uzraudzības iestādē; |
| (d) | the duration of the term of the member or members of each supervisory authority of no less than four years, except for the first appointment after 24 May 2016, part of which may take place for a shorter period where that is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure; | d) | tādu locekļa vai locekļu amata pilnvaru laiku katrā uzraudzības iestādē, kurš nav mazāks par četriem gadiem, izņemot pirmo iecelšanu pēc 2016. gada 24. maija, kad daļēji var iecelt uz īsāku laiku, ja tas ir nepieciešams, lai aizsargātu uzraudzības iestādes neatkarību, šim nolūkam amatā iecelšanas procedūru rīkojot ar laika nobīdi; |
| (e) | whether and, if so, for how many terms the member or members of each supervisory authority is eligible for reappointment; | e) | to, vai katras uzraudzības iestādes locekli vai locekļus var atkārtoti iecelt amatā un, ja var, tad uz cik pilnvaru termiņiem; |
| (f) | the conditions governing the obligations of the member or members and staff of each supervisory authority, prohibitions on actions, occupations and benefits incompatible therewith during and after the term of office and rules governing the cessation of employment. | f) | nosacījumus attiecībā uz katras uzraudzības iestādes locekļa vai locekļu un personāla pienākumiem, aizliegumus attiecībā uz rīcību, ieņemamajiem amatiem un priekšrocībām, kas nav ar tiem savienojami, esot amatā un pēc pilnvaru termiņa beigām, un noteikumus attiecībā uz nodarbinātības pārtraukšanu. |
| 2. The member or members and the staff of each supervisory authority shall, in accordance with Union or Member State law, be subject to a duty of professional secrecy both during and after their term of office, with regard to any confidential information which has come to their knowledge in the course of the performance of their tasks or exercise of their powers. During their term of office, that duty of professional secrecy shall in particular apply to reporting by natural persons of infringements of this Regulation. | 2. Katras uzraudzības iestādes loceklis vai locekļi un personāls saskaņā ar Savienības vai dalībvalsts tiesību aktiem ievēro pienākumu glabāt dienesta noslēpumu, gan esot amatā, gan arī pēc pilnvaru termiņa beigām, attiecībā uz jebkādu konfidenciālu informāciju, ko tie ir ieguvuši, pildot savus amata pienākumus vai īstenojot pilnvaras. Viņu pilnvaru laikā minētais pienākums glabāt dienesta noslēpumu jo īpaši attiecas uz fizisku personu ziņojumiem par šīs regulas pārkāpumiem. |
| Section 2 | 2. iedaļa |
| Competence, tasks and powers | Kompetence, uzdevumi un pilnvaras |
| Article 55 | 55. pants |
| Competence | Kompetence |
| 1. Each supervisory authority shall be competent for the performance of the tasks assigned to and the exercise of the powers conferred on it in accordance with this Regulation on the territory of its own Member State. | 1. Katra uzraudzības iestāde savas dalībvalsts teritorijā ir kompetenta pildīt uzticētos uzdevumus un īstenot pilnvaras, ko tai piešķir saskaņā ar šo regulu. |
| 2. Where processing is carried out by public authorities or private bodies acting on the basis of point (c) or (e) of Article 6(1), the supervisory authority of the Member State concerned shall be competent. In such cases Article 56 does not apply. | 2. Ja apstrādi veic publiska iestāde vai privāta struktūra, kas darbojas saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu, par to ir atbildīga attiecīgās dalībvalsts uzraudzības iestāde. Šādos gadījumos 56. pantu nepiemēro. |
| 3. Supervisory authorities shall not be competent to supervise processing operations of courts acting in their judicial capacity. | 3. Uzraudzības iestādes nav kompetentas uzraudzīt apstrādes darbības, ko veic tiesa, pildot savus uzdevumus. |
| Article 56 | 56. pants |
| Competence of the lead supervisory authority | Vadošās uzraudzības iestādes kompetence |
| 1. Without prejudice to Article 55, the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the cross-border processing carried out by that controller or processor in accordance with the procedure provided in Article 60. | 1. Neskarot 55. pantu, galvenās uzņēmējdarbības vietas vai pārziņa vai apstrādātāja darbības vietas uzraudzības iestāde ir kompetenta rīkoties kā vadošā uzraudzības iestāde attiecībā uz minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi saskaņā ar 60. pantā paredzēto procedūru. |
| 2. By derogation from paragraph 1, each supervisory authority shall be competent to handle a complaint lodged with it or a possible infringement of this Regulation, if the subject matter relates only to an establishment in its Member State or substantially affects data subjects only in its Member State. | 2. Atkāpjoties no 1. punkta, ikviena uzraudzības iestāde ir kompetenta izskatīt tai iesniegto sūdzību vai iespējamu šīs regulas pārkāpumu, ja lietas priekšmets attiecas vienīgi uz uzņēmējdarbības vietu tās dalībvalstī vai būtiski ietekmē datu subjektus vienīgi tās dalībvalstī. |
| 3. In the cases referred to in paragraph 2 of this Article, the supervisory authority shall inform the lead supervisory authority without delay on that matter. Within a period of three weeks after being informed the lead supervisory authority shall decide whether or not it will handle the case in accordance with the procedure provided in Article 60, taking into account whether or not there is an establishment of the controller or processor in the Member State of which the supervisory authority informed it. | 3. Šā panta 2. punktā minētajos gadījumos uzraudzības iestāde nekavējoties par minēto jautājumu informē vadošo uzraudzības iestādi. Trīs nedēļu laikā pēc informēšanas vadošā uzraudzības iestāde nolemj, vai tā izskatīs vai neizskatīs jautājumu saskaņā ar 60. pantā paredzēto procedūru, ņemot vērā to, vai pārzinis vai apstrādātājs veic uzņēmējdarbību tajā dalībvalstī, kuras uzraudzības iestāde sniegusi informāciju. |
| 4. Where the lead supervisory authority decides to handle the case, the procedure provided in Article 60 shall apply. The supervisory authority which informed the lead supervisory authority may submit to the lead supervisory authority a draft for a decision. The lead supervisory authority shall take utmost account of that draft when preparing the draft decision referred to in Article 60(3). | 4. Ja vadošā uzraudzības iestāde nolemj izskatīt jautājumu, piemēro 60. pantā paredzēto procedūru. Uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, vadošajai uzraudzības iestādei var iesniegt lēmuma projektu. Vadošā uzraudzības iestāde maksimāli ņem vērā minēto projektu, kad tā izstrādā 60. panta 3. punktā minēto lēmuma projektu. |
| 5. Where the lead supervisory authority decides not to handle the case, the supervisory authority which informed the lead supervisory authority shall handle it according to Articles 61 and 62. | 5. Ja vadošā uzraudzības iestāde nolemj neizskatīt jautājumu, tā uzraudzības iestāde, kas informēja vadošo uzraudzības iestādi, izskata jautājumu saskaņā ar 61. un 62. pantu. |
| 6. The lead supervisory authority shall be the sole interlocutor of the controller or processor for the cross-border processing carried out by that controller or processor. | 6. Vadošā uzraudzības iestāde ir vienīgais pārziņa vai apstrādātāja partneris saistībā ar minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi. |
| Article 57 | 57. pants |
| Tasks | Uzdevumi |
| 1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory: | 1. Neskarot citus uzdevumus, kas noteikti ar šo regulu, ikviena uzraudzības iestāde savā teritorijā: |
| (a) | monitor and enforce the application of this Regulation; | a) | uzrauga un īsteno šīs regulas piemērošanu; |
| (b) | promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention; | b) | veicina sabiedrības informētību un izpratni par riskiem, noteikumiem, garantijām un tiesībām saistībā ar apstrādi. Īpašu uzmanību pievērš darbībām, kas konkrēti attiecas uz bērniem; |
| (c) | advise, in accordance with Member State law, the national parliament, the government, and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons' rights and freedoms with regard to processing; | c) | saskaņā ar dalībvalsts tiesību aktiem konsultē valsts parlamentu, valdību un citas iestādes un struktūras par likumdošanas un administratīviem pasākumiem saistībā ar fizisku personu tiesību un brīvību aizsardzību attiecībā uz apstrādi; |
| (d) | promote the awareness of controllers and processors of their obligations under this Regulation; | d) | veicina pārziņu un apstrādātāju izpratni par pienākumiem, ko tiem uztic saskaņā ar šo regulu; |
| (e) | upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end; | e) | pēc pieprasījuma sniedz informāciju ikvienam datu subjektam par viņu tiesību īstenošanu saskaņā ar šo regulu un, ja nepieciešams, minētajā nolūkā sadarbojas ar citu dalībvalstu uzraudzības iestādēm; |
| (f) | handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary; | f) | izskata kāda datu subjekta, struktūras vai organizācijas, vai apvienības iesniegtās sūdzības saskaņā ar 80. pantu, atbilstošā apjomā izmeklē jautājumu un saprātīgā termiņā informē sūdzības iesniedzēju par lietas virzību un izmeklēšanas rezultātiem, jo īpaši, ja ir nepieciešama papildus izmeklēšana vai koordinācija ar citu uzraudzības iestādi; |
| (g) | cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities with a view to ensuring the consistency of application and enforcement of this Regulation; | g) | sadarbojas ar citām uzraudzības iestādēm, tostarp apmainās ar informāciju un sniedz savstarpēju palīdzību, lai nodrošinātu konsekventu šīs regulas piemērošanu un izpildi; |
| (h) | conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority; | h) | veic izmeklēšanu par šīs regulas piemērošanu, tostarp, pamatojoties uz informāciju, kas saņemta no citas uzraudzības iestādes vai citas publiskās iestādes; |
| (i) | monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices; | i) | pārrauga attiecīgas attīstības tendences, ciktāl tās ietekmē personas datu aizsardzību, un jo īpaši informācijas un komunikācijas tehnoloģiju un komercprakses attīstību; |
| (j) | adopt standard contractual clauses referred to in Article 28(8) and in point (d) of Article 46(2); | j) | apstiprina 28. panta 8. punktā un 46. panta 2. punkta d) apakšpunktā minētās līguma standartklauzulas; |
| (k) | establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 35(4); | k) | izveido un uztur sarakstu attiecībā uz prasību veikt novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 35. panta 4. punktu; |
| (l) | give advice on the processing operations referred to in Article 36(2); | l) | sniedz padomus par 36. panta 2. punktā minētajām apstrādes darbībām; |
| (m) | encourage the drawing up of codes of conduct pursuant to Article 40(1) and provide an opinion and approve such codes of conduct which provide sufficient safeguards, pursuant to Article 40(5); | m) | veicina rīcības kodeksu izstrādi saskaņā ar 40. panta 1. punktu un saskaņā ar 40. panta 5. punktu sniedz atzinumu un apstiprina šādus rīcības kodeksus, kas sniedz pietiekamas garantijas; |
| (n) | encourage the establishment of data protection certification mechanisms and of data protection seals and marks pursuant to Article 42(1), and approve the criteria of certification pursuant to Article 42(5); | n) | veicina datu aizsardzības sertifikācijas mehānismu un datu aizsardzības zīmogu un marķējumu izveidi saskaņā ar 42. panta 1. punktu un apstiprina sertifikācijas kritērijus saskaņā ar 42. panta 5. punktu; |
| (o) | where applicable, carry out a periodic review of certifications issued in accordance with Article 42(7); | o) | attiecīgā gadījumā veic periodisku pārbaudi tiem sertifikātiem, kas izsniegti saskaņā ar 42. panta 7. punktu; |
| (p) | draft and publish the criteria for accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43; | p) | izstrādā un publicē akreditācijas kritērijus, lai akreditētu struktūru, kas uzrauga rīcības kodeksus, saskaņā ar 41. pantu un sertifikācijas struktūru saskaņā ar 43. pantu; |
| (q) | conduct the accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43; | q) | veic akreditāciju struktūrai, kas uzrauga rīcības kodeksus, saskaņā ar 41. pantu un sertifikācijas struktūrai saskaņā ar 43. pantu; |
| (r) | authorise contractual clauses and provisions referred to in Article 46(3); | r) | apstiprina 46. panta 3. punktā minētās līguma klauzulas un noteikumus; |
| (s) | approve binding corporate rules pursuant to Article 47; | s) | apstiprina saistošos uzņēmuma noteikumus saskaņā ar 47. pantu; |
| (t) | contribute to the activities of the Board; | t) | veicina kolēģijas darbības; |
| (u) | keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58(2); and | u) | uztur iekšēju reģistru par šīs regulas pārkāpumiem un saskaņā ar 58. panta 2. punktu veiktajiem pasākumiem; un |
| (v) | fulfil any other tasks related to the protection of personal data. | v) | pilda jebkādus citus uzdevumus saistībā ar personas datu aizsardzību. |
| 2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as a complaint submission form which can also be completed electronically, without excluding other means of communication. | 2. Katra uzraudzības iestāde atvieglo 1. punkta f) apakšpunktā minēto sūdzību iesniegšanu ar tādiem pasākumiem kā, piemēram, sūdzības iesniegšanas veidlapu, kuru var aizpildīt arī elektroniski, neizslēdzot arī iespēju izmantot citus saziņas līdzekļus. |
| 3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and, where applicable, for the data protection officer. | 3. Attiecībā uz datu subjektu un attiecīgā gadījumā datu aizsardzības speciālistu katra uzraudzības iestāde savus uzdevumus veic bez maksas. |
| 4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the supervisory authority may charge a reasonable fee based on administrative costs, or refuse to act on the request. The supervisory authority shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request. | 4. Ja pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, uzraudzības iestāde var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām, vai atteikties veikt pieprasīto darbību. Uzraudzības iestādes pienākums ir pierādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs. |
| Article 58 | 58. pants |
| Powers | Pilnvaras |
| 1. Each supervisory authority shall have all of the following investigative powers: | 1. Katrai uzraudzības iestādei ir visas šādas izmeklēšanas pilnvaras: |
| (a) | to order the controller and the processor, and, where applicable, the controller's or the processor's representative to provide any information it requires for the performance of its tasks; | a) | izdot rīkojumu pārzinim un apstrādātājam, un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvim sniegt visu informāciju, kas nepieciešama tās uzdevumu veikšanai; |
| (b) | to carry out investigations in the form of data protection audits; | b) | veikt izmeklēšanas, izmantojot datu aizsardzības revīzijas; |
| (c) | to carry out a review on certifications issued pursuant to Article 42(7); | c) | veikt pārbaudi tiem sertifikātiem, kas izsniegti saskaņā ar 42. panta 7. punktu; |
| (d) | to notify the controller or the processor of an alleged infringement of this Regulation; | d) | paziņot pārzinim vai apstrādātājam par aizdomām par šīs regulas iespējamu pārkāpšanu; |
| (e) | to obtain, from the controller and the processor, access to all personal data and to all information necessary for the performance of its tasks; | e) | iegūt no pārziņa un apstrādātāja piekļuvi visiem personas datiem un visai informācijai, kas nepieciešama tās uzdevumu veikšanai; |
| (f) | to obtain access to any premises of the controller and the processor, including to any data processing equipment and means, in accordance with Union or Member State procedural law. | f) | iegūt piekļuvi visām pārziņa un apstrādātāja telpām, tostarp jebkādām datu apstrādes iekārtām un līdzekļiem, saskaņā ar Savienības vai dalībvalsts procesuālajiem tiesību aktiem. |
| 2. Each supervisory authority shall have all of the following corrective powers: | 2. Katrai uzraudzības iestādei ir visas šādas korektīvās pilnvaras: |
| (a) | to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation; | a) | brīdināt pārzini vai apstrādātāju, ka ar paredzētajām apstrādes darbībām, iespējams, var tikt pārkāpti šīs regulas noteikumi; |
| (b) | to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation; | b) | izteikt rājienu pārzinim vai apstrādātājam, ja ar apstrādes darbībām ir tikuši pārkāpti šīs regulas noteikumi; |
| (c) | to order the controller or the processor to comply with the data subject's requests to exercise his or her rights pursuant to this Regulation; | c) | izdot rīkojumu pārzinim vai apstrādātājam izpildīt datu subjekta pieprasījumu īstenot viņam saskaņā ar šo regulu piešķirtās tiesības; |
| (d) | to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period; | d) | izdot rīkojumu pārzinim vai apstrādātājam saskaņot apstrādes darbības ar šīs regulas noteikumiem, vajadzības gadījumā – konkrētā veidā un konkrētā laikposmā; |
| (e) | to order the controller to communicate a personal data breach to the data subject; | e) | izdot rīkojumu pārzinim paziņot datu subjektam par personas datu aizsardzības pārkāpumu; |
| (f) | to impose a temporary or definitive limitation including a ban on processing; | f) | uzlikt pagaidu vai galīgu apstrādes ierobežojumu, tostarp aizliegumu; |
| (g) | to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19; | g) | izdot rīkojumu par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu, ievērojot 16., 17. un 18. pantu, un par šādām darbībām informēt saņēmējus, kuriem personas dati ir izpausti, ievērojot 17. panta 2. punktu un 19. pantu; |
| (h) | to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met; | h) | atsaukt sertifikātu vai izdot rīkojumu sertifikācijas struktūrai atsaukt sertifikātu, kurš izsniegts, ievērojot 42. un 43. pantu, vai izdot rīkojumu sertifikācijas struktūrai neizsniegt sertifikātu, ja nav izpildītas vai vairs netiek pildītas sertifikācijas prasības; |
| (i) | to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case; | i) | piemērot administratīvu naudas sodu saskaņā ar 83. pantu, papildinot vai aizstājot šajā punktā minētos pasākumus atkarībā no katras konkrētās lietas apstākļiem; |
| (j) | to order the suspension of data flows to a recipient in a third country or to an international organisation. | j) | izdot rīkojumu apturēt datu plūsmu pie saņēmēja trešā valstī vai pie starptautiskas organizācijas. |
| 3. Each supervisory authority shall have all of the following authorisation and advisory powers: | 3. Katrai uzraudzības iestādei ir visas šādas atļauju izsniegšanas un padomdevēja pilnvaras: |
| (a) | to advise the controller in accordance with the prior consultation procedure referred to in Article 36; | a) | konsultēt pārzini saskaņā ar 36. pantā minēto iepriekšējas apspriešanās procedūru; |
| (b) | to issue, on its own initiative or on request, opinions to the national parliament, the Member State government or, in accordance with Member State law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data; | b) | pēc savas iniciatīvas vai pēc pieprasījuma sniegt atzinumus valsts parlamentam, dalībvalsts valdībai vai – saskaņā ar dalībvalsts tiesību aktiem – citām iestādēm un struktūrām, kā arī sabiedrībai par jebkuru jautājumu, kas saistīts ar personas datu aizsardzību; |
| (c) | to authorise processing referred to in Article 36(5), if the law of the Member State requires such prior authorisation; | c) | dot atļauju uzsākt apstrādi, kas minēta 36. panta 5. punktā, ja dalībvalsts tiesību aktos ir paredzēta šāda iepriekšēja atļauja; |
| (d) | to issue an opinion and approve draft codes of conduct pursuant to Article 40(5); | d) | saskaņā ar 40. panta 5. punktu sniegt atzinumu par rīcības kodeksa projektu un to apstiprināt; |
| (e) | to accredit certification bodies pursuant to Article 43; | e) | akreditēt sertifikācijas struktūras saskaņā ar 43. pantu; |
| (f) | to issue certifications and approve criteria of certification in accordance with Article 42(5); | f) | izsniegt sertifikātus un apstiprināt sertifikācijas kritērijus saskaņā ar 42. panta 5. punktu; |
| (g) | to adopt standard data protection clauses referred to in Article 28(8) and in point (d) of Article 46(2); | g) | pieņemt standarta datu aizsardzības klauzulas, kas minētas 28. panta 8. punktā un 4. panta 2. punkta d) apakšpunktā; |
| (h) | to authorise contractual clauses referred to in point (a) of Article 46(3); | h) | apstiprināt līguma klauzulas, kas minētas 46. panta 3. punkta a) apakšpunktā; |
| (i) | to authorise administrative arrangements referred to in point (b) of Article 46(3); | i) | apstiprināt administratīvās vienošanās, kas minētas 46. panta 3. punkta b) apakšpunktā; |
| (j) | to approve binding corporate rules pursuant to Article 47. | j) | apstiprināt saistošos uzņēmuma noteikumus saskaņā ar 47. pantu. |
| 4. The exercise of the powers conferred on the supervisory authority pursuant to this Article shall be subject to appropriate safeguards, including effective judicial remedy and due process, set out in Union and Member State law in accordance with the Charter. | 4. Uzraudzības iestāde saskaņā ar šo pantu piešķirto pilnvaru īstenošanā ievēro atbilstošas garantijas, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgas procedūras, kas noteiktas Savienības un dalībvalstu tiesību aktos saskaņā ar hartu. |
| 5. Each Member State shall provide by law that its supervisory authority shall have the power to bring infringements of this Regulation to the attention of the judicial authorities and where appropriate, to commence or engage otherwise in legal proceedings, in order to enforce the provisions of this Regulation. | 5. Katra dalībvalsts ar tiesību aktiem paredz, ka tās uzraudzības iestādei ir pilnvaras pievērst tiesu iestāžu uzmanību šīs regulas pārkāpumiem un vajadzības gadījumā uzsākt tiesvedību vai kā citādi iesaistīties tiesvedībā, lai īstenotu šīs regulas noteikumus. |
| 6. Each Member State may provide by law that its supervisory authority shall have additional powers to those referred to in paragraphs 1, 2 and 3. The exercise of those powers shall not impair the effective operation of Chapter VII. | 6. Katra dalībvalsts var ar tiesību aktiem paredzēt, ka tās uzraudzības iestādei ir vēl citas pilnvaras papildus tām, kas minētas 1., 2. un 3. punktā. Minēto pilnvaru īstenošana netraucē VII nodaļas efektīvai darbībai. |
| Article 59 | 59. pants |
| Activity reports | Darbības pārskati |
| Each supervisory authority shall draw up an annual report on its activities, which may include a list of types of infringement notified and types of measures taken in accordance with Article 58(2). Those reports shall be transmitted to the national parliament, the government and other authorities as designated by Member State law. They shall be made available to the public, to the Commission and to the Board. | Katra uzraudzības iestāde par savu darbību sagatavo gada pārskatu, kurā var būt iekļauts saraksts ar paziņoto pārkāpumu veidiem un saskaņā ar 58. panta 2. punktu veikto pasākumu veidiem. Minētos pārskatus nosūta valsts parlamentam, valdībai un citām iestādēm, kas izraudzītas dalībvalsts tiesību aktos. Tos dara pieejamus sabiedrībai, Komisijai un kolēģijai. |
| CHAPTER VII | VII NODAĻA |
| Cooperation and consistency | Sadarbība un konsekvence |
| Section 1 | 1. iedaļa |
| Cooperation | Sadarbība |
| Article 60 | 60. pants |
| Cooperation between the lead supervisory authority and the other supervisory authorities concerned | Sadarbība starp vadošo uzraudzības iestādi un citām attiecīgajām uzraudzības iestādēm |
| 1. The lead supervisory authority shall cooperate with the other supervisory authorities concerned in accordance with this Article in an endeavour to reach consensus. The lead supervisory authority and the supervisory authorities concerned shall exchange all relevant information with each other. | 1. Vadošā uzraudzības iestāde sadarbojas ar citām attiecīgajām uzraudzības iestādēm saskaņā ar šo pantu nolūkā panākt konsensu. Vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes savstarpēji apmainās ar visu būtisko informāciju. |
| 2. The lead supervisory authority may request at any time other supervisory authorities concerned to provide mutual assistance pursuant to Article 61 and may conduct joint operations pursuant to Article 62, in particular for carrying out investigations or for monitoring the implementation of a measure concerning a controller or processor established in another Member State. | 2. Vadošā uzraudzības iestāde jebkurā laikā var lūgt citām attiecīgajām uzraudzības iestādēm sniegt savstarpēju palīdzību saskaņā ar 61. pantu un var veikt kopīgas operācijas saskaņā ar 62. pantu, jo īpaši nolūkā veikt izmeklēšanu vai uzraudzīt pasākuma īstenošanu saistībā ar pārzini vai apstrādātāju, kas veic uzņēmējdarbību citā dalībvalstī. |
| 3. The lead supervisory authority shall, without delay, communicate the relevant information on the matter to the other supervisory authorities concerned. It shall without delay submit a draft decision to the other supervisory authorities concerned for their opinion and take due account of their views. | 3. Vadošā uzraudzības iestāde nekavējoties nosūta attiecīgo informāciju par lietu citām attiecīgajām uzraudzības iestādēm. Tā nekavējoties nosūta citām attiecīgajām uzraudzības iestādēm lēmuma projektu, lai saņemtu to atzinumu un pienācīgi ņemtu vērā to viedokli. |
| 4. Where any of the other supervisory authorities concerned within a period of four weeks after having been consulted in accordance with paragraph 3 of this Article, expresses a relevant and reasoned objection to the draft decision, the lead supervisory authority shall, if it does not follow the relevant and reasoned objection or is of the opinion that the objection is not relevant or reasoned, submit the matter to the consistency mechanism referred to in Article 63. | 4. Ja kāda no citām attiecīgajām uzraudzības iestādēm četru nedēļu laikā pēc konsultēšanās saskaņā ar šā panta 3. punktu izsaka būtisku un motivētu iebildumu par lēmuma projektu, vadošā uzraudzības iestāde, ja tā neņem vērā būtisku un motivētu iebildumu vai uzskata, ka iebildums nav būtisks vai motivēts, iesniedz lietu izskatīšanai saskaņā ar 63. pantā minēto konsekvences mehānismu. |
| 5. Where the lead supervisory authority intends to follow the relevant and reasoned objection made, it shall submit to the other supervisory authorities concerned a revised draft decision for their opinion. That revised draft decision shall be subject to the procedure referred to in paragraph 4 within a period of two weeks. | 5. Ja vadošā uzraudzības iestāde ir nolēmusi piekrist izteiktajam būtiskajam un motivētajam iebildumam, tā citām attiecīgajām uzraudzības iestādēm nosūta pārskatītu lēmuma projektu atzinuma saņemšanai. Uz minēto pārskatīto lēmuma projektu divu nedēļu laikposmā attiecas 4. punktā minētā procedūra. |
| 6. Where none of the other supervisory authorities concerned has objected to the draft decision submitted by the lead supervisory authority within the period referred to in paragraphs 4 and 5, the lead supervisory authority and the supervisory authorities concerned shall be deemed to be in agreement with that draft decision and shall be bound by it. | 6. Ja neviena no citām attiecīgajām uzraudzības iestādēm 4. un 5. punktā minētajā laikposmā neiebilst pret vadošās uzraudzības iestādes nosūtīto lēmuma projektu, uzskata, ka vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes ir vienojušās par minēto lēmuma projektu un tas viņām ir saistošs. |
| 7. The lead supervisory authority shall adopt and notify the decision to the main establishment or single establishment of the controller or processor, as the case may be and inform the other supervisory authorities concerned and the Board of the decision in question, including a summary of the relevant facts and grounds. The supervisory authority with which a complaint has been lodged shall inform the complainant on the decision. | 7. Vadošā uzraudzības iestāde pieņem lēmumu un to paziņo attiecīgi uz pārziņa vai apstrādātāja galveno vai vienīgo uzņēmējdarbības vietu un par minēto lēmumu informē attiecīgās uzraudzības iestādes un kolēģiju, tostarp sniedzot attiecīgo faktu un pamatojumu kopsavilkumu. Uzraudzības iestāde, kurā iesniegta sūdzība, informē sūdzības iesniedzēju par lēmumu. |
| 8. By derogation from paragraph 7, where a complaint is dismissed or rejected, the supervisory authority with which the complaint was lodged shall adopt the decision and notify it to the complainant and shall inform the controller thereof. | 8. Atkāpjoties no 7. punkta, ja sūdzība ir noraidīta, uzraudzības iestāde, kurā bija iesniegta sūdzība, pieņem lēmumu un to paziņo sūdzības iesniedzējam un par to informē pārzini. |
| 9. Where the lead supervisory authority and the supervisory authorities concerned agree to dismiss or reject parts of a complaint and to act on other parts of that complaint, a separate decision shall be adopted for each of those parts of the matter. The lead supervisory authority shall adopt the decision for the part concerning actions in relation to the controller, shall notify it to the main establishment or single establishment of the controller or processor on the territory of its Member State and shall inform the complainant thereof, while the supervisory authority of the complainant shall adopt the decision for the part concerning dismissal or rejection of that complaint, and shall notify it to that complainant and shall inform the controller or processor thereof. | 9. Ja vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes vienojas noraidīt daļu no sūdzības un rīkoties attiecībā uz pārējo minētās sūdzības daļu, par katru no šā jautājuma daļām pieņem atsevišķu lēmumu. Vadošā uzraudzības iestāde pieņem lēmumu par daļu, kas attiecas uz rīcību attiecībā uz pārzini, paziņo to pārziņa vai apstrādātāja galvenajai vai vienīgajai uzņēmējdarbības vietai tās dalībvalsts teritorijā un par to informē sūdzības iesniedzēju; savukārt uzraudzības iestāde, kurā iesniegta sūdzība, pieņem lēmumu par to minētās sūdzības daļu, kuru noraida, un to paziņo minētajam sūdzības iesniedzējam un informē par to pārzini vai apstrādātāju. |
| 10. After being notified of the decision of the lead supervisory authority pursuant to paragraphs 7 and 9, the controller or processor shall take the necessary measures to ensure compliance with the decision as regards processing activities in the context of all its establishments in the Union. The controller or processor shall notify the measures taken for complying with the decision to the lead supervisory authority, which shall inform the other supervisory authorities concerned. | 10. Pēc vadošās uzraudzības iestādes lēmuma saņemšanas saskaņā ar 7. un 9. punktu pārzinis vai apstrādātājs īsteno vajadzīgos pasākumus, lai nodrošinātu atbilstību šim lēmumam attiecībā uz apstrādes darbībām visās tā uzņēmējdarbības vietās Savienībā. Pārzinis vai apstrādātājs par pasākumiem, kas īstenoti nolūkā nodrošināt atbilstību šim lēmumam, paziņo vadošajai uzraudzības iestādei, kura informē citas attiecīgās uzraudzības iestādes. |
| 11. Where, in exceptional circumstances, a supervisory authority concerned has reasons to consider that there is an urgent need to act in order to protect the interests of data subjects, the urgency procedure referred to in Article 66 shall apply. | 11. Ja ārkārtas apstākļos attiecīgajai uzraudzības iestādei ir pamats uzskatīt, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu intereses, piemēro 66. pantā minēto steidzamības procedūru. |
| 12. The lead supervisory authority and the other supervisory authorities concerned shall supply the information required under this Article to each other by electronic means, using a standardised format. | 12. Vadošā uzraudzības iestāde un citas attiecīgās uzraudzības iestādes savstarpēji sniedz šajā pantā minēto informāciju elektroniskā veidā, izmantojot standarta formātu. |
| Article 61 | 61. pants |
| Mutual assistance | Savstarpēja palīdzība |
| 1. Supervisory authorities shall provide each other with relevant information and mutual assistance in order to implement and apply this Regulation in a consistent manner, and shall put in place measures for effective cooperation with one another. Mutual assistance shall cover, in particular, information requests and supervisory measures, such as requests to carry out prior authorisations and consultations, inspections and investigations. | 1. Uzraudzības iestādes sniedz cita citai visu attiecīgo informāciju un savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo regulu, un īsteno pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība ietver jo īpaši informācijas pieprasījumus un uzraudzības pasākumus, piemēram, pieprasījumus sniegt iepriekšējas atļaujas un veikt apspriešanos, pārbaudes un izmeklēšanas. |
| 2. Each supervisory authority shall take all appropriate measures required to reply to a request of another supervisory authority without undue delay and no later than one month after receiving the request. Such measures may include, in particular, the transmission of relevant information on the conduct of an investigation. | 2. Katra uzraudzības iestāde veic visus atbilstīgos pasākumus, kas nepieciešami, lai bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas atbildētu uz kādas citas uzraudzības iestādes pieprasījumu. Šādi pasākumi jo īpaši var ietvert attiecīgas informācijas par izmeklēšanas gaitu nosūtīšanu. |
| 3. Requests for assistance shall contain all the necessary information, including the purpose of and reasons for the request. Information exchanged shall be used only for the purpose for which it was requested. | 3. Palīdzības pieprasījumos ir norādīta visa nepieciešamā informācija, tostarp pieprasījuma nolūks un pamatojums. Apmaiņā iegūto informāciju izmanto tikai tam nolūkam, kādam tā tika pieprasīta. |
| 4. The requested supervisory authority shall not refuse to comply with the request unless: | 4. Uzraudzības iestāde, kurai pieprasījums adresēts, neatsakās izpildīt pieprasījumu, izņemot, ja: |
| (a) | it is not competent for the subject-matter of the request or for the measures it is requested to execute; or | a) | pieprasījuma priekšmets vai pasākumi, kurus lūdz izpildīt, nav tās kompetencē; vai |
| (b) | compliance with the request would infringe this Regulation or Union or Member State law to which the supervisory authority receiving the request is subject. | b) | pieprasījuma izpilde pārkāptu šo regulu vai Savienības vai dalībvalsts tiesību aktus, ko piemēro uzraudzības iestādei, kura saņēmusi pieprasījumu. |
| 5. The requested supervisory authority shall inform the requesting supervisory authority of the results or, as the case may be, of the progress of the measures taken in order to respond to the request. The requested supervisory authority shall provide reasons for any refusal to comply with a request pursuant to paragraph 4. | 5. Uzraudzības iestāde, kurai pieprasījums adresēts, informē pieprasošo uzraudzības iestādi par rezultātiem vai attiecīgā gadījumā par progresu vai pasākumiem, kas veikti, lai izpildītu pieprasījumu. Uzraudzības iestāde, kurai pieprasījums adresēts, ievērojot 4. punktu, paskaidro iemeslus jebkuram atteikumam izpildīt pieprasījumu. |
| 6. Requested supervisory authorities shall, as a rule, supply the information requested by other supervisory authorities by electronic means, using a standardised format. | 6. Uzraudzības iestādes, kurām pieprasījums adresēts, parasti sniedz citu uzraudzības iestāžu pieprasīto informāciju elektroniskā veidā, izmantojot standarta formātu. |
| 7. Requested supervisory authorities shall not charge a fee for any action taken by them pursuant to a request for mutual assistance. Supervisory authorities may agree on rules to indemnify each other for specific expenditure arising from the provision of mutual assistance in exceptional circumstances. | 7. Uzraudzības iestādes, kurām pieprasījums adresēts, neprasa samaksu par darbībām, ko tās veikušas, ievērojot savstarpējās palīdzības pieprasījumu. Uzraudzības iestādes var vienoties par noteikumiem, kā savā starpā kompensēt īpašos izdevumus, kas radušies no savstarpējas palīdzības sniegšanas ārkārtas apstākļos. |
| 8. Where a supervisory authority does not provide the information referred to in paragraph 5 of this Article within one month of receiving the request of another supervisory authority, the requesting supervisory authority may adopt a provisional measure on the territory of its Member State in accordance with Article 55(1). In that case, the urgent need to act under Article 66(1) shall be presumed to be met and require an urgent binding decision from the Board pursuant to Article 66(2). | 8. Ja uzraudzības iestāde nesniedz šā panta 5. punktā minēto informāciju viena mēneša laikā pēc citas uzraudzības iestādes pieprasījuma saņemšanas, pieprasošā uzraudzības iestāde savas dalībvalsts teritorijā var pieņemt pagaidu pasākumu saskaņā ar 55. panta 1. punktu. Minētajā gadījumā tiek uzskatīts, ka saskaņā ar 66. panta 1. punktu ir steidzami jārīkojas un ir nepieciešams steidzams kolēģijas saistošs lēmums saskaņā ar 66. panta 2. punktu. |
| 9. The Commission may, by means of implementing acts, specify the format and procedures for mutual assistance referred to in this Article and the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board, in particular the standardised format referred to in paragraph 6 of this Article. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2). | 9. Komisija ar īstenošanas aktiem var noteikt formātu un procedūras savstarpējai palīdzībai, kas minēta šajā pantā, un kārtību, kādā uzraudzības iestādes savā starpā un ar kolēģiju apmainās ar informāciju, izmantojot elektroniskos līdzekļus, jo īpaši standarta formātu, kas minēts šā panta 6. punktā. Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā. |
| Article 62 | 62. pants |
| Joint operations of supervisory authorities | Uzraudzības iestāžu kopīgās operācijas |
| 1. The supervisory authorities shall, where appropriate, conduct joint operations including joint investigations and joint enforcement measures in which members or staff of the supervisory authorities of other Member States are involved. | 1. Uzraudzības iestādes vajadzības gadījumā veic kopīgas operācijas, tostarp kopīgu izmeklēšanu un kopīgus izpildes pasākumus, kuros iesaistās citu dalībvalstu uzraudzības iestāžu locekļi vai personāls. |
| 2. Where the controller or processor has establishments in several Member States or where a significant number of data subjects in more than one Member State are likely to be substantially affected by processing operations, a supervisory authority of each of those Member States shall have the right to participate in joint operations. The supervisory authority which is competent pursuant to Article 56(1) or (4) shall invite the supervisory authority of each of those Member States to take part in the joint operations and shall respond without delay to the request of a supervisory authority to participate. | 2. Ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairākās dalībvalstīs vai apstrādes darbības var būtiski ietekmēt ievērojamu skaitu datu subjektu vairāk nekā vienā dalībvalstī, uzraudzības iestādei katrā no šīm dalībvalstīm ir tiesības piedalīties kopīgajās operācijās. Uzraudzības iestāde, kura ir kompetenta, ievērojot 56. panta 1. vai 4. punktu, aicina uzraudzības iestādes katrā no minētajām dalībvalstīm piedalīties kopīgajās operācijās un bez kavēšanās atbild uzraudzības iestādes pieprasījumam par piedalīšanos. |
| 3. A supervisory authority may, in accordance with Member State law, and with the seconding supervisory authority's authorisation, confer powers, including investigative powers on the seconding supervisory authority's members or staff involved in joint operations or, in so far as the law of the Member State of the host supervisory authority permits, allow the seconding supervisory authority's members or staff to exercise their investigative powers in accordance with the law of the Member State of the seconding supervisory authority. Such investigative powers may be exercised only under the guidance and in the presence of members or staff of the host supervisory authority. The seconding supervisory authority's members or staff shall be subject to the Member State law of the host supervisory authority. | 3. Katra uzraudzības iestāde var saskaņā ar dalībvalsts tiesību aktiem un ar pilnvaru pārņēmējas uzraudzības iestādes piekrišanu piešķirt pilnvaras, tostarp izmeklēšanas pilnvaras, pilnvaru pārņēmējas uzraudzības iestādes locekļiem vai personālam, kas iesaistīti kopīgās operācijās, vai tādā apmērā, kā to pieļauj uzņemošās uzraudzības iestādes dalībvalsts tiesību akti, var atļaut pilnvaru pārņēmējas uzraudzības iestādes locekļiem vai personālam īstenot viņu izmeklēšanas pilnvaras saskaņā ar pilnvaru pārņēmējas uzraudzības iestādes dalībvalsts tiesību aktiem. Šādas izmeklēšanas pilnvaras var īstenot tikai uzņemošās uzraudzības iestādes vadībā un tās locekļu vai personāla klātbūtnē. Pilnvaru pārņēmējas uzraudzības iestādes locekļiem vai personālam piemēro uzņemošās uzraudzības iestādes dalībvalsts tiesību aktus. |
| 4. Where, in accordance with paragraph 1, staff of a seconding supervisory authority operate in another Member State, the Member State of the host supervisory authority shall assume responsibility for their actions, including liability, for any damage caused by them during their operations, in accordance with the law of the Member State in whose territory they are operating. | 4. Ja saskaņā ar šā panta 1. punktu pilnvaru pārņēmējas uzraudzības iestādes personāls darbojas citā dalībvalstī, uzņemošās uzraudzības iestādes dalībvalsts uzņemas atbildību par tā darbībām, tostarp atbildību par jebkādu tā operāciju laikā nodarīto kaitējumu saskaņā ar tās dalībvalsts tiesību aktiem, kuras teritorijā tas darbojas. |
| 5. The Member State in whose territory the damage was caused shall make good such damage under the conditions applicable to damage caused by its own staff. The Member State of the seconding supervisory authority whose staff has caused damage to any person in the territory of another Member State shall reimburse that other Member State in full any sums it has paid to the persons entitled on their behalf. | 5. Dalībvalsts, kuras teritorijā ir nodarīts kaitējums, novērš šādu kaitējumu saskaņā ar nosacījumiem, kurus piemēro šīs valsts personāla nodarītam kaitējumam. Pilnvaru pārņēmējas uzraudzības iestādes dalībvalsts, kuras personāls ir nodarījis kaitējumu kādai personai citas dalībvalsts teritorijā, minētajai citai dalībvalstij pilnībā atlīdzina visas summas, ko tā samaksājusi tās vārdā pilnvarotajām personām. |
| 6. Without prejudice to the exercise of its rights vis-à-vis third parties and with the exception of paragraph 5, each Member State shall refrain, in the case provided for in paragraph 1, from requesting reimbursement from another Member State in relation to damage referred to in paragraph 4. | 6. Neskarot dalībvalstu tiesību īstenošanu attiecībā uz trešām personām un izņemot 5. punktu, ikviena dalībvalsts 1. punktā paredzētajā gadījumā atturas pieprasīt atlīdzību no citas dalībvalsts par 4. punktā minēto kaitējumu. |
| 7. Where a joint operation is intended and a supervisory authority does not, within one month, comply with the obligation laid down in the second sentence of paragraph 2 of this Article, the other supervisory authorities may adopt a provisional measure on the territory of its Member State in accordance with Article 55. In that case, the urgent need to act under Article 66(1) shall be presumed to be met and require an opinion or an urgent binding decision from the Board pursuant to Article 66(2). | 7. Ja tiek plānota kopīga operācija un uzraudzības iestāde viena mēneša laikā neievēro pienākumus, kas minēti šā panta 2. punkta otrajā teikumā, pārējās uzraudzības iestādes var pieņemt pagaidu pasākumu šīs dalībvalsts teritorijā saskaņā ar 55. pantu. Minētajā gadījumā tiek uzskatīts, ka saskaņā ar 66. panta 1. punktu ir steidzami jārīkojas un ir nepieciešams steidzams kolēģijas atzinums vai saistošs lēmums saskaņā ar 66. panta 2. punktu. |
| Section 2 | 2. iedaļa |
| Consistency | Konsekvence |
| Article 63 | 63. pants |
| Consistency mechanism | Konsekvences mehānisms |
| In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section. | Lai sekmētu šīs regulas konsekventu piemērošanu visā Savienībā, uzraudzības iestādes sadarbojas cita ar citu un attiecīgā gadījumā ar Komisiju, izmantojot konsekvences mehānismu, kā izklāstīts šajā iedaļā. |
| Article 64 | 64. pants |
| Opinion of the Board | Kolēģijas atzinums |
| 1. The Board shall issue an opinion where a competent supervisory authority intends to adopt any of the measures below. To that end, the competent supervisory authority shall communicate the draft decision to the Board, when it: | 1. Kolēģija sniedz atzinumu, ja kompetentā uzraudzības iestāde gatavojas pieņemt jebkuru no turpmāk minētajiem pasākumiem. Šādā nolūkā kompetentā uzraudzības iestāde kolēģijai nosūta lēmuma projektu, kad: |
| (a) | aims to adopt a list of the processing operations subject to the requirement for a data protection impact assessment pursuant to Article 35(4); | a) | tā ir paredzējusi pieņemt sarakstu ar apstrādes darbībām, kam piemēro prasību par novērtējumu par ietekmi uz datu aizsardzību saskaņā ar 35. panta 4. punktu; |
| (b) | concerns a matter pursuant to Article 40(7) whether a draft code of conduct or an amendment or extension to a code of conduct complies with this Regulation; | b) | tas attiecas uz jautājumu saskaņā ar 40. panta 7. punktu par to, vai rīcības kodeksa projekts vai tā grozījums vai papildinājums atbilst šai regulai; |
| (c) | aims to approve the criteria for accreditation of a body pursuant to Article 41(3) or a certification body pursuant to Article 43(3); | c) | tā ir paredzējusi apstiprināt kritērijus struktūras akreditācijai saskaņā ar 41. panta 3. punktu vai sertifikācijas struktūrai saskaņā ar 43. panta 3. punktu; |
| (d) | aims to determine standard data protection clauses referred to in point (d) of Article 46(2) and in Article 28(8); | d) | tā ir paredzējusi noteikt standarta datu aizsardzības klauzulas, kas minētas 46. panta 2. punkta d) apakšpunktā un 28. panta 8. punktā; |
| (e) | aims to authorise contractual clauses referred to in point (a) of Article 46(3); or | e) | tā ir paredzējusi apstiprināt 46. panta 3. punkta a) apakšpunktā minētās līguma klauzulas; vai |
| (f) | aims to approve binding corporate rules within the meaning of Article 47. | f) | tā ir paredzējusi apstiprināt saistošos uzņēmuma noteikumus 47. panta nozīmē. |
| 2. Any supervisory authority, the Chair of the Board or the Commission may request that any matter of general application or producing effects in more than one Member State be examined by the Board with a view to obtaining an opinion, in particular where a competent supervisory authority does not comply with the obligations for mutual assistance in accordance with Article 61 or for joint operations in accordance with Article 62. | 2. Jebkura uzraudzības iestāde, kolēģijas priekšsēdētājs vai Komisija var pieprasīt, lai kolēģija izskata jebkuru jautājumu par vispārējo piemērošanu vai kas rada sekas vairāk nekā vienā dalībvalstī nolūkā saņemt atzinumu, jo īpaši, ja kompetentā uzraudzības iestāde neievēro savstarpējas palīdzības pienākumu saskaņā ar 61. pantu vai kopīgu operāciju pienākumu saskaņā ar 62. pantu. |
| 3. In the cases referred to in paragraphs 1 and 2, the Board shall issue an opinion on the matter submitted to it provided that it has not already issued an opinion on the same matter. That opinion shall be adopted within eight weeks by simple majority of the members of the Board. That period may be extended by a further six weeks, taking into account the complexity of the subject matter. Regarding the draft decision referred to in paragraph 1 circulated to the members of the Board in accordance with paragraph 5, a member which has not objected within a reasonable period indicated by the Chair, shall be deemed to be in agreement with the draft decision. | 3. Gadījumos, kas minēti 1. un 2. punktā, kolēģija sniedz atzinumu par tai iesniegto jautājumu ar noteikumu, ka tā par to pašu jautājumu nav jau sniegusi atzinumu. Minēto atzinumu pieņem astoņu nedēļu laikā ar kolēģijas locekļu vienkāršu balsu vairākumu. Minēto termiņu var pagarināt vēl par sešām nedēļām, ņemot vērā jautājuma sarežģītību. Attiecībā uz 1. punktā minēto lēmuma projektu, kas saskaņā ar 5. punktu izplatīts kolēģijas locekļiem, uzskata, ka loceklis, kas priekšsēdētāja norādītā saprātīgā termiņā nav paudis iebildumus, piekrīt lēmuma projektam. |
| 4. Supervisory authorities and the Commission shall, without undue delay, communicate by electronic means to the Board, using a standardised format any relevant information, including as the case may be a summary of the facts, the draft decision, the grounds which make the enactment of such measure necessary, and the views of other supervisory authorities concerned. | 4. Uzraudzības iestādes un Komisija, izmantojot standarta formātu, bez nepamatotas kavēšanās elektroniski paziņo kolēģijai visu attiecīgo informāciju, ietverot attiecīgā gadījumā arī faktu kopsavilkumu, lēmuma projektu, pamatojumu, kāpēc šāds pasākums ir nepieciešams, un citu attiecīgo uzraudzības iestāžu viedokļus. |
| 5. The Chair of the Board shall, without undue, delay inform by electronic means: | 5. Kolēģijas priekšsēdētājs bez nepamatotas kavēšanās elektroniski informē: |
| (a) | the members of the Board and the Commission of any relevant information which has been communicated to it using a standardised format. The secretariat of the Board shall, where necessary, provide translations of relevant information; and | a) | kolēģijas locekļus un Komisiju par visu attiecīgo informāciju, kas paziņota kolēģijai, izmantojot standarta formātu. Ja nepieciešams, kolēģijas sekretariāts nodrošina attiecīgās informācijas tulkojumus; un |
| (b) | the supervisory authority referred to, as the case may be, in paragraphs 1 and 2, and the Commission of the opinion and make it public. | b) | uzraudzības iestādi, kas attiecīgā gadījumā minēta 1. un 2. punktā, un Komisiju par atzinumu un to publisko. |
| 6. The competent supervisory authority shall not adopt its draft decision referred to in paragraph 1 within the period referred to in paragraph 3. | 6. Kompetentā uzraudzības iestāde nepieņem 1. punktā minēto lēmuma projektu 3. punktā minētajā laikposmā. |
| 7. The supervisory authority referred to in paragraph 1 shall take utmost account of the opinion of the Board and shall, within two weeks after receiving the opinion, communicate to the Chair of the Board by electronic means whether it will maintain or amend its draft decision and, if any, the amended draft decision, using a standardised format. | 7. Uzraudzības iestāde, kas minēta 1. punktā, vislielākajā mērā ņem vērā kolēģijas atzinumu un divu nedēļu laikā pēc atzinuma saņemšanas, izmantojot standarta formātu, elektroniski paziņo kolēģijas priekšsēdētājam, vai tā paturēs spēkā vai grozīs savu lēmuma projektu un grozījumu gadījumā informē par grozīto lēmuma projektu. |
| 8. Where the supervisory authority concerned informs the Chair of the Board within the period referred to in paragraph 7 of this Article that it does not intend to follow the opinion of the Board, in whole or in part, providing the relevant grounds, Article 65(1) shall apply. | 8. Ja attiecīgā uzraudzības iestāde šā panta 7. punktā minētajā termiņā informē kolēģijas priekšsēdētāju, ka ir nolēmusi pilnībā vai daļēji neievērot kolēģijas atzinumu, sniedzot attiecīgo pamatojumu, tiek piemērots 65. panta 1. punkts. |
| Article 65 | 65. pants |
| Dispute resolution by the Board | Strīdu risināšana kolēģijā |
| 1. In order to ensure the correct and consistent application of this Regulation in individual cases, the Board shall adopt a binding decision in the following cases: | 1. Lai nodrošinātu šīs regulas pareizu un konsekventu piemērošanu katrā atsevišķā gadījumā, kolēģija pieņem saistošu lēmumu šādos gadījumos: |
| (a) | where, in a case referred to in Article 60(4), a supervisory authority concerned has raised a relevant and reasoned objection to a draft decision of the lead authority or the lead authority has rejected such an objection as being not relevant or reasoned. The binding decision shall concern all the matters which are the subject of the relevant and reasoned objection, in particular whether there is an infringement of this Regulation; | a) | ja 60. panta 4. punktā minētajā gadījumā attiecīgā uzraudzības iestāde ir cēlusi būtisku un motivētu iebildumu pret vadošās iestādes lēmuma projektu vai vadošā iestāde ir noraidījusi šādu iebildumu kā nebūtisku vai nemotivētu. Saistošais lēmums skar visus jautājumus, kas ir būtiskā un motivētā iebilduma priekšmets, jo īpaši jautājumu par to, vai ir pārkāpta šī regula; |
| (b) | where there are conflicting views on which of the supervisory authorities concerned is competent for the main establishment; | b) | ja ir pretēji viedokļi par to, kurai attiecīgajai uzraudzības iestādei ir kompetence par galveno uzņēmējdarbības vietu; |
| (c) | where a competent supervisory authority does not request the opinion of the Board in the cases referred to in Article 64(1), or does not follow the opinion of the Board issued under Article 64. In that case, any supervisory authority concerned or the Commission may communicate the matter to the Board. | c) | ja kompetentā uzraudzības iestāde 64. panta 1. punktā minētajos gadījumos nepieprasa kolēģijas atzinumu vai neievēro kolēģijas atzinumu, kas izsniegts saskaņā ar 64. pantu. Šādā gadījumā jebkura attiecīgā uzraudzības iestāde vai Komisija var par to informēt kolēģiju. |
| 2. The decision referred to in paragraph 1 shall be adopted within one month from the referral of the subject-matter by a two-thirds majority of the members of the Board. That period may be extended by a further month on account of the complexity of the subject-matter. The decision referred to in paragraph 1 shall be reasoned and addressed to the lead supervisory authority and all the supervisory authorities concerned and binding on them. | 2. Lēmumu, kas minēts 1. punktā, pieņem viena mēneša laikā pēc tam, kad kolēģijas locekļu divu trešdaļu vairākums ir iesniedzis jautājumu. Minēto termiņu var pagarināt vēl par vienu mēnesi, ņemot vērā jautājuma sarežģītību. Šā panta 1. punktā minēto lēmumu motivē un adresē vadošajai uzraudzības iestādei un visām attiecīgajām uzraudzības iestādēm, un tas ir tām saistošs. |
| 3. Where the Board has been unable to adopt a decision within the periods referred to in paragraph 2, it shall adopt its decision within two weeks following the expiration of the second month referred to in paragraph 2 by a simple majority of the members of the Board. Where the members of the Board are split, the decision shall by adopted by the vote of its Chair. | 3. Ja kolēģija 2. punktā minētajos termiņos nav varējusi pieņemt lēmumu, tā savu lēmumu pieņem ar kolēģijas locekļu vienkāršu balsu vairākumu divu nedēļu laikā pēc tam, kad ir beidzies 2. punktā minētais otrais mēnesis. Ja kolēģijas locekļu balsojums ir neizšķirts, lēmuma pieņemšanu izšķir tās priekšsēdētāja balss. |
| 4. The supervisory authorities concerned shall not adopt a decision on the subject matter submitted to the Board under paragraph 1 during the periods referred to in paragraphs 2 and 3. | 4. Termiņos, kas minēti 2. un 3. punktā, attiecīgās uzraudzības iestādes nepieņem lēmumu par jautājumu, kas iesniegts kolēģijai saskaņā ar 1. punktu. |
| 5. The Chair of the Board shall notify, without undue delay, the decision referred to in paragraph 1 to the supervisory authorities concerned. It shall inform the Commission thereof. The decision shall be published on the website of the Board without delay after the supervisory authority has notified the final decision referred to in paragraph 6. | 5. Kolēģijas priekšsēdētājs bez nepamatotas kavēšanās 1. punktā minēto lēmumu paziņo attiecīgajām uzraudzības iestādēm. Tā informē par to Komisiju. Pēc tam, kad uzraudzības iestāde ir paziņojusi 6. punktā minēto galīgo lēmumu, lēmumu nekavējoties publicē kolēģijas tīmekļa vietnē. |
| 6. The lead supervisory authority or, as the case may be, the supervisory authority with which the complaint has been lodged shall adopt its final decision on the basis of the decision referred to in paragraph 1 of this Article, without undue delay and at the latest by one month after the Board has notified its decision. The lead supervisory authority or, as the case may be, the supervisory authority with which the complaint has been lodged, shall inform the Board of the date when its final decision is notified respectively to the controller or the processor and to the data subject. The final decision of the supervisory authorities concerned shall be adopted under the terms of Article 60(7), (8) and (9). The final decision shall refer to the decision referred to in paragraph 1 of this Article and shall specify that the decision referred to in that paragraph will be published on the website of the Board in accordance with paragraph 5 of this Article. The final decision shall attach the decision referred to in paragraph 1 of this Article. | 6. Vadošā uzraudzības iestāde vai attiecīgā gadījumā tā uzraudzības iestāde, kurai ir iesniegta sūdzība, pieņem savu galīgo lēmumu uz šā panta 1. punktā minētā lēmuma pamata bez nepamatotas kavēšanās un ne vēlāk kā vienu mēnesi pēc tam, kad kolēģija ir paziņojusi savu lēmumu. Vadošā uzraudzības iestāde vai attiecīgā gadījumā tā uzraudzības iestāde, kurai ir iesniegta sūdzība, informē kolēģiju par to, kurā dienā tās galīgais lēmums ir paziņots, attiecīgi, pārzinim vai apstrādātājam un datu subjektam. Attiecīgo uzraudzības iestāžu galīgo lēmumu pieņem saskaņā ar 60. panta 7., 8. un 9. punkta noteikumiem. Galīgajā lēmumā atsaucas uz šā panta 1. punktā minēto lēmumu un norāda, ka minētajā punktā minētais lēmums tiks publicēts kolēģijas tīmekļa vietnē saskaņā ar šā panta 5. punktu. Galīgajam lēmumam pievieno šā panta 1. punktā minēto lēmumu. |
| Article 66 | 66. pants |
| Urgency procedure | Steidzamības procedūra |
| 1. In exceptional circumstances, where a supervisory authority concerned considers that there is an urgent need to act in order to protect the rights and freedoms of data subjects, it may, by way of derogation from the consistency mechanism referred to in Articles 63, 64 and 65 or the procedure referred to in Article 60, immediately adopt provisional measures intended to produce legal effects on its own territory with a specified period of validity which shall not exceed three months. The supervisory authority shall, without delay, communicate those measures and the reasons for adopting them to the other supervisory authorities concerned, to the Board and to the Commission. | 1. Ārkārtas apstākļos, ja kāda attiecīgā uzraudzības iestāde uzskata, ka ir steidzami jārīkojas, lai aizsargātu datu subjektu tiesības un brīvības, tā, atkāpjoties no 63., 64. un 65. pantā minētā konsekvences mehānisma vai 60. pantā minētās procedūras, var nekavējoties pieņemt pagaidu pasākumus, kuru nolūks ir radīt tiesiskas sekas savā teritorijā, norādot konkrētu spēkā esamības laikposmu, kas nepārsniedz trīs mēnešus. Uzraudzības iestāde šos pasākumus un to pieņemšanas iemeslus nekavējoties dara zināmus citām attiecīgajām uzraudzības iestādēm, kolēģijai un Komisijai. |
| 2. Where a supervisory authority has taken a measure pursuant to paragraph 1 and considers that final measures need urgently be adopted, it may request an urgent opinion or an urgent binding decision from the Board, giving reasons for requesting such opinion or decision. | 2. Ja uzraudzības iestāde ir pieņēmusi pasākumu saskaņā ar 1. punktu un uzskata, ka ir steidzami jāpieņem galīgie pasākumi, tā var lūgt steidzamu atzinumu vai steidzamu saistošu lēmumu no kolēģijas, pamatojot šāda atzinuma vai lēmuma nepieciešamību. |
| 3. Any supervisory authority may request an urgent opinion or an urgent binding decision, as the case may be, from the Board where a competent supervisory authority has not taken an appropriate measure in a situation where there is an urgent need to act, in order to protect the rights and freedoms of data subjects, giving reasons for requesting such opinion or decision, including for the urgent need to act. | 3. Jebkura uzraudzības iestāde var lūgt steidzamu atzinumu vai attiecīgā gadījumā steidzamu saistošu lēmumu no kolēģijas, ja kāda kompetentā uzraudzības iestāde nav veikusi atbilstošu pasākumu situācijā, kad ir steidzama vajadzība rīkoties, lai aizsargātu datu subjektu tiesības un brīvības, pamatojot šāda atzinuma vai lēmuma nepieciešamību, tostarp vajadzību steidzami rīkoties. |
| 4. By derogation from Article 64(3) and Article 65(2), an urgent opinion or an urgent binding decision referred to in paragraphs 2 and 3 of this Article shall be adopted within two weeks by simple majority of the members of the Board. | 4. Atkāpjoties no 64. panta 3. punkta un 65. panta 2. punkta, steidzamu atzinumu vai steidzamu saistošu lēmumu, kas minēts šā panta 2. un 3. punktā, pieņem divu nedēļu laikā ar kolēģijas locekļu vienkāršu balsu vairākumu. |
| Article 67 | 67. pants |
| Exchange of information | Informācijas apmaiņa |
| The Commission may adopt implementing acts of general scope in order to specify the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board, in particular the standardised format referred to in Article 64. | Komisija var pieņemt vispārēji piemērojamus īstenošanas aktus, lai noteiktu kārtību, kādā, izmantojot elektroniskus līdzekļus, uzraudzības iestādes apmainās ar informāciju savā starpā un ar kolēģiju, jo īpaši nosakot standarta formātu, kas minēts 64. pantā. |
| Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2). | Minētos īstenošanas aktus pieņem saskaņā ar pārbaudes procedūru, kas minēta 93. panta 2. punktā. |
| Section 3 | 3. iedaļa |
| European data protection board | Eiropas Datu aizsardzības kolēģija |
| Article 68 | 68. pants |
| European Data Protection Board | Eiropas Datu aizsardzības kolēģija |
| 1. The European Data Protection Board (the ‘Board’) is hereby established as a body of the Union and shall have legal personality. | 1. Ar šo tiek izveidota Eiropas Datu aizsardzības kolēģija (“kolēģija”) kā Savienības struktūra, un tā ir tiesību subjekts. |
| 2. The Board shall be represented by its Chair. | 2. Kolēģiju pārstāv tās priekšsēdētājs. |
| 3. The Board shall be composed of the head of one supervisory authority of each Member State and of the European Data Protection Supervisor, or their respective representatives. | 3. Kolēģija sastāv no katras dalībvalsts vienas uzraudzības iestādes vadītāja un Eiropas Datu aizsardzības uzraudzītāja vai viņu attiecīgajiem pārstāvjiem. |
| 4. Where in a Member State more than one supervisory authority is responsible for monitoring the application of the provisions pursuant to this Regulation, a joint representative shall be appointed in accordance with that Member State's law. | 4. Ja dalībvalstī par šīs regulas noteikumu piemērošanas uzraudzību atbild vairāk nekā viena uzraudzības iestāde, saskaņā ar minētās dalībvalsts tiesību aktiem ieceļ kopīgu pārstāvi. |
| 5. The Commission shall have the right to participate in the activities and meetings of the Board without voting right. The Commission shall designate a representative. The Chair of the Board shall communicate to the Commission the activities of the Board. | 5. Komisijai ir tiesības piedalīties kolēģijas darbībā un sanāksmēs bez balsošanas tiesībām. Komisija norīko pārstāvi. Kolēģijas priekšsēdētājs paziņo Komisijai par kolēģijas darbībām. |
| 6. In the cases referred to in Article 65, the European Data Protection Supervisor shall have voting rights only on decisions which concern principles and rules applicable to the Union institutions, bodies, offices and agencies which correspond in substance to those of this Regulation. | 6. Gadījumos, kas minēti 65. pantā, Eiropas Datu aizsardzības uzraudzītājam ir balsošanas tiesības vienīgi par lēmumiem, kas attiecas uz principiem un noteikumiem, kuri ir piemērojami Savienības iestādēm, struktūrām, birojiem un aģentūrām un kuri pēc būtības atbilst šīs regulas principiem un noteikumiem. |
| Article 69 | 69. pants |
| Independence | Neatkarība |
| 1. The Board shall act independently when performing its tasks or exercising its powers pursuant to Articles 70 and 71. | 1. Kolēģija, pildot savus uzdevumus vai īstenojot savas pilnvaras saskaņā ar 70. un 71. pantu, rīkojas neatkarīgi. |
| 2. Without prejudice to requests by the Commission referred to in point (b) of Article 70(1) and in Article 70(2), the Board shall, in the performance of its tasks or the exercise of its powers, neither seek nor take instructions from anybody. | 2. Neskarot Komisijas pieprasījumus, kas minēti 70. panta 1. punkta b) apakšpunktā un 70. panta 2. punktā, kolēģija, pildot savus uzdevumus vai īstenojot savas pilnvaras, ne no viena nelūdz un nepieņem norādījumus. |
| Article 70 | 70. pants |
| Tasks of the Board | Kolēģijas uzdevumi |
| 1. The Board shall ensure the consistent application of this Regulation. To that end, the Board shall, on its own initiative or, where relevant, at the request of the Commission, in particular: | 1. Kolēģija nodrošina šīs regulas konsekventu piemērošanu. Šim nolūkam kolēģija pēc savas iniciatīvas vai attiecīgā gadījumā pēc Komisijas pieprasījuma jo īpaši: |
| (a) | monitor and ensure the correct application of this Regulation in the cases provided for in Articles 64 and 65 without prejudice to the tasks of national supervisory authorities; | a) | pārrauga un nodrošina šīs regulas pareizu piemērošanu gadījumos, kas paredzēti 64 un 65. pantā, neskarot valstu uzraudzības iestāžu uzdevumus; |
| (b) | advise the Commission on any issue related to the protection of personal data in the Union, including on any proposed amendment of this Regulation; | b) | sniedz padomus Komisijai par visiem jautājumiem, kas attiecas uz personas datu aizsardzību Savienībā, tai skaitā par visiem šīs regulas grozījumiem, kas tiek ierosināti; |
| (c) | advise the Commission on the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules; | c) | sniedz padomus Komisijai par formātu un procedūrām informācijas apmaiņai starp pārziņiem, apstrādātājiem un uzraudzības iestādēm attiecībā uz saistošiem uzņēmuma noteikumiem; |
| (d) | issue guidelines, recommendations, and best practices on procedures for erasing links, copies or replications of personal data from publicly available communication services as referred to in Article 17(2); | d) | nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz procedūrām saišu uz personas datiem, datu kopiju un atveidojumu dzēšanai no publiski pieejamiem komunikācijas pakalpojumiem, kā minēts 17. panta 2. punktā; |
| (e) | examine, on its own initiative, on request of one of its members or on request of the Commission, any question covering the application of this Regulation and issue guidelines, recommendations and best practices in order to encourage consistent application of this Regulation; | e) | pēc pašas kolēģijas iniciatīvas, pēc viena no tās locekļu vai Komisijas pieprasījuma izskata jebkādus jautājumus, kas attiecas uz šīs regulas piemērošanu, un nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, lai veicinātu šīs regulas konsekventu piemērošanu; |
| (f) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for further specifying the criteria and conditions for decisions based on profiling pursuant to Article 22(2); | f) | nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi saskaņā ar šā punkta e) apakšpunktu, kā sīkāk noteikt kritērijus un nosacījumus uz profilēšanu balstītiem lēmumiem saskaņā ar 22. panta 2. punktu; |
| (g) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for establishing the personal data breaches and determining the undue delay referred to in Article 33(1) and (2) and for the particular circumstances in which a controller or a processor is required to notify the personal data breach; | g) | saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā noteikt personas datu aizsardzības pārkāpumus un 33. panta 1. un 2. punktā minēto nepamatoto kavēšanos, un īpaši tādus apstākļus, kādos pārzinim un apstrādātājam ir jāziņo par personas datu aizsardzības pārkāpumu; |
| (h) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph as to the circumstances in which a personal data breach is likely to result in a high risk to the rights and freedoms of the natural persons referred to in Article 34(1). | h) | saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi attiecībā uz apstākļiem, kādos personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, kā minēts 34. panta 1. punktā; |
| (i) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for the purpose of further specifying the criteria and requirements for personal data transfers based on binding corporate rules adhered to by controllers and binding corporate rules adhered to by processors and on further necessary requirements to ensure the protection of personal data of the data subjects concerned referred to in Article 47; | i) | saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un prasības personas datu nosūtīšanai, pamatojoties uz saistošiem uzņēmuma noteikumiem, kurus ievēro pārzinis, un saistošiem uzņēmuma noteikumiem, kurus ievēro apstrādātāji, un uz sīkākām nepieciešamām prasībām, lai nodrošinātu attiecīgo datu subjektu personas datu aizsardzību, kas minētas 47. pantā; |
| (j) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for the purpose of further specifying the criteria and requirements for the personal data transfers on the basis of Article 49(1); | j) | saskaņā ar šā panta 1. punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā sīkāk noteikt kritērijus un prasības attiecībā uz datu personas nosūtīšanu, pamatojoties uz 49. panta 1. punktu; |
| (k) | draw up guidelines for supervisory authorities concerning the application of measures referred to in Article 58(1), (2) and (3) and the setting of administrative fines pursuant to Article 83; | k) | izstrādā uzraudzības iestādēm adresētas pamatnostādnes par 58. panta 1., 2. un 3. punktā minēto pasākumu piemērošanu un par administratīvo naudas sodu noteikšanu saskaņā ar 83. pantu; |
| (l) | review the practical application of the guidelines, recommendations and best practices referred to in points (e) and (f); | l) | pārskata e) un fa) apakšpunktā minēto pamatnostādņu, ieteikumu un paraugprakses praktisko piemērošanu; |
| (m) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for establishing common procedures for reporting by natural persons of infringements of this Regulation pursuant to Article 54(2); | m) | saskaņā ar šā punkta e) apakšpunktu nāk klajā ar pamatnostādnēm, ieteikumiem un paraugpraksi, kā izveidot kopīgas procedūras attiecībā uz fizisku personu ziņojumiem par šīs regulas pārkāpumiem saskaņā ar 54. panta 2. punktu; |
| (n) | encourage the drawing-up of codes of conduct and the establishment of data protection certification mechanisms and data protection seals and marks pursuant to Articles 40 and 42; | n) | mudina izstrādāt rīcības kodeksus un izveidot datu aizsardzības sertifikācijas mehānismus un datu aizsardzības zīmogus un marķējumus saskaņā ar 40. un 42. pantu; |
| (o) | carry out the accreditation of certification bodies and its periodic review pursuant to Article 43 and maintain a public register of accredited bodies pursuant to Article 43(6) and of the accredited controllers or processors established in third countries pursuant to Article 42(7); | o) | veic sertifikācijas struktūru akreditāciju un tās periodisku pārskatīšanu saskaņā ar 43. pantu un uztur publisku reģistru par akreditētām struktūrām saskaņā ar 43. panta 6. punktu un par akreditētiem pārziņiem un apstrādātājiem, kas veic uzņēmējdarbību trešās valstīs, saskaņā ar 42. panta 7. punktu; |
| (p) | specify the requirements referred to in Article 43(3) with a view to the accreditation of certification bodies under Article 42; | p) | precizē prasības, kas minētas 43. panta 3. punktā, lai akreditētu sertifikācijas struktūras saskaņā ar 42. pantu; |
| (q) | provide the Commission with an opinion on the certification requirements referred to in Article 43(8); | q) | sniedz Komisijai atzinumu par 43. panta 8. punktā minētajām sertifikācijas prasībām; |
| (r) | provide the Commission with an opinion on the icons referred to in Article 12(7); | r) | sniedz Komisijai atzinumu par 12. panta 7. punktā minētajām ikonām; |
| (s) | provide the Commission with an opinion for the assessment of the adequacy of the level of protection in a third country or international organisation, including for the assessment whether a third country, a territory or one or more specified sectors within that third country, or an international organisation no longer ensures an adequate level of protection. To that end, the Commission shall provide the Board with all necessary documentation, including correspondence with the government of the third country, with regard to that third country, territory or specified sector, or with the international organisation. | s) | sniedz Komisijai atzinumu, lai novērtētu aizsardzības līmeņa pietiekamību trešā valstī vai starptautiskā organizācijā, tostarp lai novērtētu to, vai trešā valstī, teritorijā vai vienā vai vairākos konkrētos sektoros minētajā trešā valstī, vai starptautiskā organizācijā vairs netiek nodrošināts pietiekams aizsardzības līmenis. Šim nolūkam Komisija sniedz kolēģijai visu nepieciešamo dokumentāciju, tostarp saraksti ar trešās valsts valdību, attiecībā uz minēto trešo valsti, teritoriju vai konkrētu sektoru, vai starptautisku organizāciju; |
| (t) | issue opinions on draft decisions of supervisory authorities pursuant to the consistency mechanism referred to in Article 64(1), on matters submitted pursuant to Article 64(2) and to issue binding decisions pursuant to Article 65, including in cases referred to in Article 66; | t) | sniedz atzinumus par uzraudzības iestāžu lēmumiem saskaņā ar 64. panta 1. punktā minēto konsekvences mehānismu un par jautājumiem, kas iesniegti saskaņā ar 64. panta 2. punktu, un izdod saistošus lēmumus saskaņā ar 65. pantu, tostarp 66. pantā minētajos gadījumos; |
| (u) | promote the cooperation and the effective bilateral and multilateral exchange of information and best practices between the supervisory authorities; | u) | veicina sadarbību un efektīvu divpusēju un daudzpusēju apmaiņu ar informāciju un paraugpraksi starp uzraudzības iestādēm; |
| (v) | promote common training programmes and facilitate personnel exchanges between the supervisory authorities and, where appropriate, with the supervisory authorities of third countries or with international organisations; | v) | veicina kopīgas apmācības programmas un personāla apmaiņu starp uzraudzības iestādēm un attiecīgā gadījumā ar trešo valstu vai starptautisko organizāciju uzraudzības iestādēm; |
| (w) | promote the exchange of knowledge and documentation on data protection legislation and practice with data protection supervisory authorities worldwide. | w) | veicina zināšanu un dokumentācijas apmaiņu par datu aizsardzības tiesību aktiem un praksi ar uzraudzības iestādēm visā pasaulē; |
| (x) | issue opinions on codes of conduct drawn up at Union level pursuant to Article 40(9); and | x) | sniedz atzinumus par Savienības līmenī izstrādātiem rīcības kodeksiem saskaņā ar 40. panta 9. punktu; un |
| (y) | maintain a publicly accessible electronic register of decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism. | y) | uztur publiski pieejamu elektronisku reģistru ar uzraudzības iestāžu un tiesu pieņemtiem lēmumiem par jautājumiem, kas risināti ar konsekvences mehānismu. |
| 2. Where the Commission requests advice from the Board, it may indicate a time limit, taking into account the urgency of the matter. | 2. Ja Komisija lūdz kolēģijas padomu, tā var noteikt termiņu, ņemot vērā lietas steidzamību. |
| 3. The Board shall forward its opinions, guidelines, recommendations, and best practices to the Commission and to the committee referred to in Article 93 and make them public. | 3. Kolēģija savus atzinumus, pamatnostādnes, ieteikumus un paraugpraksi nosūta Komisijai un 93. pantā norādītajai komitejai un publisko tos. |
| 4. The Board shall, where appropriate, consult interested parties and give them the opportunity to comment within a reasonable period. The Board shall, without prejudice to Article 76, make the results of the consultation procedure publicly available. | 4. Kolēģija attiecīgā gadījumā apspriežas ar ieinteresētajām personām un dod tām iespēju saprātīgā termiņā izteikties. Kolēģija, neskarot 76. pantu, dara publiski pieejamus apspriešanās procedūras rezultātus. |
| Article 71 | 71. pants |
| Reports | Ziņojumi |
| 1. The Board shall draw up an annual report regarding the protection of natural persons with regard to processing in the Union and, where relevant, in third countries and international organisations. The report shall be made public and be transmitted to the European Parliament, to the Council and to the Commission. | 1. Kolēģija sagatavo gada ziņojumu par fizisku personu aizsardzību attiecībā uz apstrādi Savienībā un attiecīgā gadījumā trešās valstīs un starptautiskās organizācijās. Ziņojumu publisko un nosūta Eiropas Parlamentam, Padomei un Komisijai. |
| 2. The annual report shall include a review of the practical application of the guidelines, recommendations and best practices referred to in point (l) of Article 70(1) as well as of the binding decisions referred to in Article 65. | 2. Gada ziņojumā ietver pārskatu par 70. panta 1. punkta l) apakšpunktā minēto pamatnostādņu, ieteikumu un paraugprakses praktisko īstenošanu, kā arī par 65. pantā minēto saistošo lēmumu praktisko īstenošanu. |
| Article 72 | 72. pants |
| Procedure | Procedūra |
| 1. The Board shall take decisions by a simple majority of its members, unless otherwise provided for in this Regulation. | 1. Kolēģija pieņem lēmumus ar vienkāršu kolēģijas locekļu balsu vairākumu, ja vien šajā regulā nav paredzēts citādi. |
| 2. The Board shall adopt its own rules of procedure by a two-thirds majority of its members and organise its own operational arrangements. | 2. Kolēģija pieņem savu reglamentu ar tās locekļu divu trešdaļu balsu vairākumu un nosaka savu darbības kārtību. |
| Article 73 | 73. pants |
| Chair | Priekšsēdētājs |
| 1. The Board shall elect a chair and two deputy chairs from amongst its members by simple majority. | 1. Kolēģija ar vienkāršu balsu vairākumu ievēl priekšsēdētāju un divus priekšsēdētāja vietniekus no savu locekļu vidus. |
| 2. The term of office of the Chair and of the deputy chairs shall be five years and be renewable once. | 2. Priekšsēdētāja un priekšsēdētāja vietnieku pilnvaru termiņš ir pieci gadi, un viņus var ievēlēt amatā atkārtoti vēl vienu reizi. |
| Article 74 | 74. pants |
| Tasks of the Chair | Priekšsēdētāja uzdevumi |
| 1. The Chair shall have the following tasks: | 1. Priekšsēdētājam ir šādi uzdevumi: |
| (a) | to convene the meetings of the Board and prepare its agenda; | a) | sasaukt kolēģijas sanāksmes un sagatavot darba kārtību; |
| (b) | to notify decisions adopted by the Board pursuant to Article 65 to the lead supervisory authority and the supervisory authorities concerned; | b) | paziņot vadošajai uzraudzības iestādei un attiecīgajām uzraudzības iestādēm lēmumus, ko kolēģija pieņēmusi saskaņā ar 65. pantu; |
| (c) | to ensure the timely performance of the tasks of the Board, in particular in relation to the consistency mechanism referred to in Article 63. | c) | nodrošināt kolēģijas uzdevumu savlaicīgu izpildi, jo īpaši saistībā ar konsekvences mehānismu, kas minēts 63. pantā. |
| 2. The Board shall lay down the allocation of tasks between the Chair and the deputy chairs in its rules of procedure. | 2. Kolēģija savā reglamentā nosaka pienākumu sadali starp priekšsēdētāju un priekšsēdētāja vietniekiem. |
| Article 75 | 75. pants |
| Secretariat | Sekretariāts |
| 1. The Board shall have a secretariat, which shall be provided by the European Data Protection Supervisor. | 1. Kolēģijai ir sekretariāts, kuru nodrošina Eiropas Datu aizsardzības uzraudzītājs. |
| 2. The secretariat shall perform its tasks exclusively under the instructions of the Chair of the Board. | 2. Sekretariāts pilda uzdevumus tikai pēc kolēģijas priekšsēdētāja norādēm. |
| 3. The staff of the European Data Protection Supervisor involved in carrying out the tasks conferred on the Board by this Regulation shall be subject to separate reporting lines from the staff involved in carrying out tasks conferred on the European Data Protection Supervisor. | 3. Uz Eiropas Datu aizsardzības uzraudzītāja personālu, kas ir iesaistīts tādu uzdevumu veikšanā, kuri ar šo regulu ir uzticēti kolēģijai, attiecas pakļautības kārtība, kas ir atsevišķa no tā personāla, kurš ir iesaistīts tādu uzdevumu veikšanā, kurus devis Eiropas Datu aizsardzības uzraudzītājs. |
| 4. Where appropriate, the Board and the European Data Protection Supervisor shall establish and publish a Memorandum of Understanding implementing this Article, determining the terms of their cooperation, and applicable to the staff of the European Data Protection Supervisor involved in carrying out the tasks conferred on the Board by this Regulation. | 4. Attiecīgā gadījumā kolēģija un Eiropas Datu aizsardzības uzraudzītājs izveido un publicē saprašanas memorandu, ar ko tiek īstenots šis pants, noteikta sadarbības kārtība un ko piemēro tam Eiropas Datu aizsardzības uzraudzītāja personālam, kas iesaistīts tādu uzdevumu veikšanā, kuri ar šo regulu ir uzticēti kolēģijai. |
| 5. The secretariat shall provide analytical, administrative and logistical support to the Board. | 5. Sekretariāts sniedz analītisku, administratīvu un loģistikas atbalstu kolēģijai. |
| 6. The secretariat shall be responsible in particular for: | 6. Sekretariāts jo īpaši ir atbildīgs par: |
| (a) | the day-to-day business of the Board; | a) | Kolēģijas ikdienas darbu; |
| (b) | communication between the members of the Board, its Chair and the Commission; | b) | saziņu starp Kolēģijas locekļiem, priekšsēdētāju un Komisiju; |
| (c) | communication with other institutions and the public; | c) | saziņu ar citām institūcijām un sabiedrību; |
| (d) | the use of electronic means for the internal and external communication; | d) | elektronisko līdzekļu izmantošanu iekšējai un ārējai saziņai; |
| (e) | the translation of relevant information; | e) | attiecīgās informācijas tulkošanu; |
| (f) | the preparation and follow-up of the meetings of the Board; | f) | kolēģijas sanāksmju sagatavošanu un turpmākiem pasākumiem; |
| (g) | the preparation, drafting and publication of opinions, decisions on the settlement of disputes between supervisory authorities and other texts adopted by the Board. | g) | kolēģijas pieņemto atzinumu, lēmumu par strīdu izšķiršanu starp uzraudzības iestādēm un citu dokumentu sagatavošanu, izstrādi un publicēšanu. |
| Article 76 | 76. pants |
| Confidentiality | Konfidencialitāte |
| 1. The discussions of the Board shall be confidential where the Board deems it necessary, as provided for in its rules of procedure. | 1. Kolēģijas apspriedes ir konfidenciālas, ja kolēģija to uzskata par nepieciešamu, kā paredzēts tās reglamentā. |
| 2. Access to documents submitted to members of the Board, experts and representatives of third parties shall be governed by Regulation (EC) No 1049/2001 of the European Parliament and of the Council (21). | 2. Piekļuvi dokumentiem, kas iesniegti kolēģijas locekļiem, ekspertiem un trešo personu pārstāvjiem, nosaka Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1049/2001 (21). |
| CHAPTER VIII | VIII NODAĻA |
| Remedies, liability and penalties | Tiesību aizsardzības līdzekļi, atbildība un sankcijas |
| Article 77 | 77. pants |
| Right to lodge a complaint with a supervisory authority | Tiesības iesniegt sūdzību uzraudzības iestādē |
| 1. Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes this Regulation. | 1. Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, jo īpaši tajā dalībvalstī, kurā ir viņa pastāvīgā dzīvesvieta, darbavieta vai iespējamā pārkāpuma izdarīšanas vieta, ja datu subjekts uzskata, ka viņa personas datu apstrāde pārkāpj šo regulu. |
| 2. The supervisory authority with which the complaint has been lodged shall inform the complainant on the progress and the outcome of the complaint including the possibility of a judicial remedy pursuant to Article 78. | 2. Uzraudzības iestāde, kurā ir iesniegta sūdzība, informē sūdzības iesniedzēju par sūdzības izskatīšanas virzību un iznākumu, tostarp par tiesību aizsardzības tiesā iespēju saskaņā ar 78. pantu. |
| Article 78 | 78. pants |
| Right to an effective judicial remedy against a supervisory authority | Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi |
| 1. Without prejudice to any other administrative or non-judicial remedy, each natural or legal person shall have the right to an effective judicial remedy against a legally binding decision of a supervisory authority concerning them. | 1. Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katrai fiziskai vai juridiskai personai ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas skar minētās personas. |
| 2. Without prejudice to any other administrative or non-judicial remedy, each data subject shall have the right to a an effective judicial remedy where the supervisory authority which is competent pursuant to Articles 55 and 56 does not handle a complaint or does not inform the data subject within three months on the progress or outcome of the complaint lodged pursuant to Article 77. | 2. Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katram datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja uzraudzības iestāde, kas ir kompetenta, ievērojot 55. un 56. pantu, trīs mēnešu laikā neizskata sūdzību vai neinformē datu subjektu par sūdzības, kas iesniegta, ievērojot 77. pantu, izskatīšanas virzību vai rezultātiem. |
| 3. Proceedings against a supervisory authority shall be brought before the courts of the Member State where the supervisory authority is established. | 3. Tiesvedību pret uzraudzības iestādi uzsāk tās dalībvalsts tiesā, kurā atrodas uzraudzības iestāde. |
| 4. Where proceedings are brought against a decision of a supervisory authority which was preceded by an opinion or a decision of the Board in the consistency mechanism, the supervisory authority shall forward that opinion or decision to the court. | 4. Ja tiesvedību sāk par uzraudzības iestādes lēmumu, pirms kura pieņemšanas kolēģija saistībā ar konsekvences mehānismu bija nākusi klajā ar atzinumu vai pieņēmusi lēmumu, tad uzraudzības iestāde minēto atzinumu vai lēmumu nosūta tiesai. |
| Article 79 | 79. pants |
| Right to an effective judicial remedy against a controller or processor | Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju |
| 1. Without prejudice to any available administrative or non-judicial remedy, including the right to lodge a complaint with a supervisory authority pursuant to Article 77, each data subject shall have the right to an effective judicial remedy where he or she considers that his or her rights under this Regulation have been infringed as a result of the processing of his or her personal data in non-compliance with this Regulation. | 1. Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 77. pantu, ikvienam datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, tādas viņa personas datu apstrādes rezultātā, kura neatbilst šai regulai. |
| 2. Proceedings against a controller or a processor shall be brought before the courts of the Member State where the controller or processor has an establishment. Alternatively, such proceedings may be brought before the courts of the Member State where the data subject has his or her habitual residence, unless the controller or processor is a public authority of a Member State acting in the exercise of its public powers. | 2. Prasību pret pārzini vai apstrādātāju ceļ tās dalībvalsts tiesā, kurā atrodas pārziņa vai apstrādātāja uzņēmējdarbības vieta. Alternatīvi šādu prasību var celt tās dalībvalsts tiesās, kur atrodas datu subjekta pastāvīgā dzīvesvieta, izņemot, ja pārzinis vai apstrādātājs ir dalībvalsts publiska iestāde, kas rīkojas, pildot savas publiskās pilnvaras. |
| Article 80 | 80. pants |
| Representation of data subjects | Datu subjektu pārstāvība |
| 1. The data subject shall have the right to mandate a not-for-profit body, organisation or association which has been properly constituted in accordance with the law of a Member State, has statutory objectives which are in the public interest, and is active in the field of the protection of data subjects' rights and freedoms with regard to the protection of their personal data to lodge the complaint on his or her behalf, to exercise the rights referred to in Articles 77, 78 and 79 on his or her behalf, and to exercise the right to receive compensation referred to in Article 82 on his or her behalf where provided for by Member State law. | 1. Datu subjektam ir tiesības pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjekta tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņa vārdā iesniegtu sūdzību, viņa vārdā īstenotu 77., 78. un 79. pantā minētās tiesības un viņa vārdā īstenotu 82. pantā minētās tiesības saņemt kompensāciju, ja to paredz dalībvalsts tiesību akti. |
| 2. Member States may provide that any body, organisation or association referred to in paragraph 1 of this Article, independently of a data subject's mandate, has the right to lodge, in that Member State, a complaint with the supervisory authority which is competent pursuant to Article 77 and to exercise the rights referred to in Articles 78 and 79 if it considers that the rights of a data subject under this Regulation have been infringed as a result of the processing. | 2. Dalībvalstis var paredzēt, ka jebkurai šā panta 1. punktā minētajai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta dotā pilnvarojuma ir tiesības minētajā dalībvalstī iesniegt sūdzību uzraudzības iestādei, kura ir kompetenta, ievērojot 77. pantu, un īstenot tiesības, kas minētas 78. un 79. pantā, ja tā uzskata, ka apstrādes rezultātā pārkāptas datu subjekta tiesības saskaņā ar šo regulu. |
| Article 81 | 81. pants |
| Suspension of proceedings | Tiesvedības apturēšana |
| 1. Where a competent court of a Member State has information on proceedings, concerning the same subject matter as regards processing by the same controller or processor, that are pending in a court in another Member State, it shall contact that court in the other Member State to confirm the existence of such proceedings. | 1. Ja dalībvalsts kompetentās tiesas rīcībā ir informācija par tiesvedību, kas par to pašu priekšmetu citas dalībvalsts tiesā ir sākta attiecībā uz tā paša pārziņa vai apstrādātāja veiktu apstrādi, tā sazinās ar minēto citas dalībvalsts tiesu, lai gūtu apstiprinājumu par to, ka šāda tiesvedība tiešām ir sākta. |
| 2. Where proceedings concerning the same subject matter as regards processing of the same controller or processor are pending in a court in another Member State, any competent court other than the court first seized may suspend its proceedings. | 2. Ja par to pašu priekšmetu citas dalībvalsts tiesā ir sākta tiesvedība attiecībā uz tā paša pārziņa vai apstrādātāja veiktu apstrādi, jebkura kompetentā tiesa, kas nav tiesa, kurā pirmajā celta prasība, var apturēt tās tiesvedību. |
| 3. Where those proceedings are pending at first instance, any court other than the court first seized may also, on the application of one of the parties, decline jurisdiction if the court first seized has jurisdiction over the actions in question and its law permits the consolidation thereof. | 3. Ja minētā tiesvedība notiek pirmajā instancē, jebkura tiesa, kas nav tiesa, kurā pirmajā celta prasība, pēc kādas puses iesniegta pieteikuma var arī atteikties no jurisdikcijas, ja attiecīgās prasības ir tās tiesas jurisdikcijā, kurā pirmajā iesniegta prasība, un ja tās tiesību akti ļauj šīs prasības apvienot. |
| Article 82 | 82. pants |
| Right to compensation and liability | Tiesības uz kompensāciju un atbildība |
| 1. Any person who has suffered material or non-material damage as a result of an infringement of this Regulation shall have the right to receive compensation from the controller or processor for the damage suffered. | 1. Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu. |
| 2. Any controller involved in processing shall be liable for the damage caused by processing which infringes this Regulation. A processor shall be liable for the damage caused by processing only where it has not complied with obligations of this Regulation specifically directed to processors or where it has acted outside or contrary to lawful instructions of the controller. | 2. Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, kura pārkāpj šo regulu. Apstrādātājs ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, tikai tad, ja tas nav izpildījis šajā regulā paredzētos pienākumus, kas konkrēti adresēti apstrādātājam, vai ja tas ir rīkojies neatbilstīgi vai pretēji pārziņa likumīgiem norādījumiem. |
| 3. A controller or processor shall be exempt from liability under paragraph 2 if it proves that it is not in any way responsible for the event giving rise to the damage. | 3. Pārzini vai apstrādātāju atbrīvo no atbildības saskaņā ar 2. punktu, ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums. |
| 4. Where more than one controller or processor, or both a controller and a processor, are involved in the same processing and where they are, under paragraphs 2 and 3, responsible for any damage caused by processing, each controller or processor shall be held liable for the entire damage in order to ensure effective compensation of the data subject. | 4. Ja vienā un tajā pašā apstrādē ir iesaistīts vairāk nekā viens pārzinis vai apstrādātājs vai gan pārzinis, gan apstrādātājs un ja tie saskaņā ar 2. un 3. punktu ir atbildīgi par jebkādu kaitējumu, kas nodarīts ar apstrādi, katru pārzini vai apstrādātāju sauc pie atbildības par visu nodarīto kaitējumu, lai datu subjektam nodrošinātu efektīvu kompensāciju. |
| 5. Where a controller or processor has, in accordance with paragraph 4, paid full compensation for the damage suffered, that controller or processor shall be entitled to claim back from the other controllers or processors involved in the same processing that part of the compensation corresponding to their part of responsibility for the damage, in accordance with the conditions set out in paragraph 2. | 5. Ja saskaņā ar 4. punktu pārzinis vai apstrādātājs par nodarīto kaitējumu pilnā apmērā ir izmaksājis kompensāciju, minētais pārzinis vai apstrādātājs ir tiesīgs no citiem šajā pašā apstrādē iesaistītajiem pārziņiem vai apstrādātājiem par kaitējumu pieprasīt kompensācijas daļu, kas atbilst to atbildības apmēram saskaņā ar 2. punktā izklāstītajiem nosacījumiem. |
| 6. Court proceedings for exercising the right to receive compensation shall be brought before the courts competent under the law of the Member State referred to in Article 79(2). | 6. Tiesvedību par to, lai īstenotu tiesības saņemt kompensāciju, sāk tajās tiesās, kas ir kompetentas saskaņā ar 79. panta 2. punktā minētās dalībvalsts tiesību aktiem. |
| Article 83 | 83. pants |
| General conditions for imposing administrative fines | Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu |
| 1. Each supervisory authority shall ensure that the imposition of administrative fines pursuant to this Article in respect of infringements of this Regulation referred to in paragraphs 4, 5 and 6 shall in each individual case be effective, proportionate and dissuasive. | 1. Katra uzraudzības iestāde nodrošina, ka par 4., 5. un 6. punktā minētajiem šīs regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša. |
| 2. Administrative fines shall, depending on the circumstances of each individual case, be imposed in addition to, or instead of, measures referred to in points (a) to (h) and (j) of Article 58(2). When deciding whether to impose an administrative fine and deciding on the amount of the administrative fine in each individual case due regard shall be given to the following: | 2. Administratīvie naudas sodi atkarībā no katras konkrētās lietas apstākļiem tiek piemēroti, papildinot 58. panta 2. punkta a)–h) apakšpunktā un j) apakšpunktā minētos pasākumus vai šo pasākumu vietā. Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus: |
| (a) | the nature, gravity and duration of the infringement taking into account the nature scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them; | a) | pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru; |
| (b) | the intentional or negligent character of the infringement; | b) | to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ; |
| (c) | any action taken by the controller or processor to mitigate the damage suffered by data subjects; | c) | jebkādu pārziņa vai apstrādātāja rīcību, lai mazinātu kaitējumu, kas nodarīts datu subjektiem; |
| (d) | the degree of responsibility of the controller or processor taking into account technical and organisational measures implemented by them pursuant to Articles 25 and 32; | d) | pārziņa vai apstrādātāja atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākumiem, ko tie īsteno saskaņā ar 25. un 32. pantu; |
| (e) | any relevant previous infringements by the controller or processor; | e) | jebkādus attiecīgus pārziņa vai apstrādātāja iepriekšējus pārkāpumus; |
| (f) | the degree of cooperation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement; | f) | sadarbības pakāpi ar uzraudzības iestādi, lai atlīdzinātu pārkāpumu un mazinātu tā iespējamās nelabvēlīgās sekas; |
| (g) | the categories of personal data affected by the infringement; | g) | to, kādu kategoriju personas datus ietekmējis pārkāpums; |
| (h) | the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement; | h) | veidu, kādā par pārkāpumu uzzināja uzraudzības iestāde, jo īpaši to, vai pārzinis vai apstrādātājs ir ziņojis par pārkāpumu, un šādā gadījumā – kādā apjomā; |
| (i) | where measures referred to in Article 58(2) have previously been ordered against the controller or processor concerned with regard to the same subject-matter, compliance with those measures; | i) | ja 58. panta 2. punktā minētie pasākumi iepriekš par šo pašu priekšmetu jau ir tikuši vērsti pret attiecīgo pārzini vai apstrādātāju, kā minētie pasākumi ir tikuši pildīti; |
| (j) | adherence to approved codes of conduct pursuant to Article 40 or approved certification mechanisms pursuant to Article 42; and | j) | apstiprināto rīcības kodeksu ievērošanu saskaņā ar 40. pantu vai apstiprināto sertifikācijas mehānismu ievērošanu saskaņā ar 42. pantu; un |
| (k) | any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement. | k) | jebkādu citu pastiprinošu vai mīkstinošu apstākli, kas piemērojams lietas apstākļiem, piemēram, no pārkāpuma tieši vai netieši gūti finansiālie labumi vai novērsti zaudējumi. |
| 3. If a controller or processor intentionally or negligently, for the same or linked processing operations, infringes several provisions of this Regulation, the total amount of the administrative fine shall not exceed the amount specified for the gravest infringement. | 3. Ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu. |
| 4. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 10 000 000 EUR, or in the case of an undertaking, up to 2 % of the total worldwide annual turnover of the preceding financial year, whichever is higher: | 4. Administratīvus naudas sodus apmērā līdz EUR 10 000 000 vai, uzņēmuma gadījumā, līdz 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem: |
| (a) | the obligations of the controller and the processor pursuant to Articles 8, 11, 25 to 39 and 42 and 43; | a) | pārziņa un apstrādātāja pienākumi saskaņā ar 8., 11., 25.–39., 42. un 43. pantu; |
| (b) | the obligations of the certification body pursuant to Articles 42 and 43; | b) | sertifikācijas struktūras pienākumi saskaņā ar 42. un 43. pantu; |
| (c) | the obligations of the monitoring body pursuant to Article 41(4). | c) | pārraudzības struktūras pienākumi saskaņā ar 41. panta 4. punktu. |
| 5. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher: | 5. Administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem: |
| (a) | the basic principles for processing, including conditions for consent, pursuant to Articles 5, 6, 7 and 9; | a) | apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 5., 6., 7. un 9. pantu; |
| (b) | the data subjects' rights pursuant to Articles 12 to 22; | b) | datu subjekta tiesības saskaņā ar 12.–22. pantu; |
| (c) | the transfers of personal data to a recipient in a third country or an international organisation pursuant to Articles 44 to 49; | c) | personas datu nosūtīšana saņēmējam uz trešo valsti vai starptautisku organizāciju saskaņā ar 44.–49. pantu; |
| (d) | any obligations pursuant to Member State law adopted under Chapter IX; | d) | visi pienākumi, ievērojot dalībvalsts tiesību aktus, kuri pieņemti saskaņā ar IX nodaļu; |
| (e) | non-compliance with an order or a temporary or definitive limitation on processing or the suspension of data flows by the supervisory authority pursuant to Article 58(2) or failure to provide access in violation of Article 58(1). | e) | ja nav ievērots uzraudzības iestādes rīkojums vai pagaidu vai galīgs apstrādes vai datu aprites ierobežojums saskaņā ar 58. panta 2. punktu, vai nav sniegta piekļuve, pārkāpjot 58. panta 1. punktu. |
| 6. Non-compliance with an order by the supervisory authority as referred to in Article 58(2) shall, in accordance with paragraph 2 of this Article, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher. | 6. Saskaņā ar šā panta 2. punktu par 58. panta 2. punktā minētā uzraudzības iestādes rīkojuma neievērošanu piemēro administratīvus naudas sodus apmērā līdz EUR 20 000 000 vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks. |
| 7. Without prejudice to the corrective powers of supervisory authorities pursuant to Article 58(2), each Member State may lay down the rules on whether and to what extent administrative fines may be imposed on public authorities and bodies established in that Member State. | 7. Neskarot 58. panta 2. punktā paredzētās uzraudzības iestāžu korektīvās pilnvaras, katra dalībvalsts var izstrādāt noteikumus par to, vai un līdz kādam apjomam administratīvos naudas sodus var piemērot publiskām iestādēm un struktūrām, kas veic uzņēmējdarbību minētajā dalībvalstī. |
| 8. The exercise by the supervisory authority of its powers under this Article shall be subject to appropriate procedural safeguards in accordance with Union and Member State law, including effective judicial remedy and due process. | 8. Uzraudzības iestādes pilnvaru veikšanai saskaņā ar šo pantu piemēro atbilstošas procesuālas garantijas saskaņā ar Savienības un dalībvalsts tiesību aktiem, tostarp efektīvu tiesību aizsardzību tiesā un pienācīgu procedūru ievērošanu. |
| 9. Where the legal system of the Member State does not provide for administrative fines, this Article may be applied in such a manner that the fine is initiated by the competent supervisory authority and imposed by competent national courts, while ensuring that those legal remedies are effective and have an equivalent effect to the administrative fines imposed by supervisory authorities. In any event, the fines imposed shall be effective, proportionate and dissuasive. Those Member States shall notify to the Commission the provisions of their laws which they adopt pursuant to this paragraph by 25 May 2018 and, without delay, any subsequent amendment law or amendment affecting them. | 9. Ja dalībvalsts tiesību sistēmā nav paredzēti administratīvi naudas sodi, šo pantu var piemērot tā, ka naudas sodu ierosina kompetentā uzraudzības iestāde, bet uzliek kompetentās valsts tiesas, vienlaikus nodrošinot, ka minētie tiesību aizsardzības līdzekļi ir efektīvi un tiem ir līdzvērtīga iedarbība ar uzraudzības iestāžu uzliktiem administratīviem naudas sodiem. Jebkurā gadījumā uzliktie naudas sodi ir iedarbīgi, samērīgi un atturoši. Līdz 2018. gada 25. maijam minētās dalībvalstis paziņo Komisijai to tiesību aktu noteikumus, ko tās pieņem, ievērojot šo punktu, un nekavējoties paziņo Komisijai par jebkuru turpmāku grozošo aktu vai jebkuriem turpmākiem šo noteikumu grozījumiem. |
| Article 84 | 84. pants |
| Penalties | Sankcijas |
| 1. Member States shall lay down the rules on other penalties applicable to infringements of this Regulation in particular for infringements which are not subject to administrative fines pursuant to Article 83, and shall take all measures necessary to ensure that they are implemented. Such penalties shall be effective, proportionate and dissuasive. | 1. Dalībvalstis paredz noteikumus par citām sankcijām, ko piemēro par šīs regulas pārkāpumiem, jo īpaši pārkāpumiem, par kuriem nav paredzēti administratīvi naudas sodi saskaņā ar 83. pantu, un veic visus nepieciešamos pasākumus, lai nodrošinātu, ka šos noteikumus īsteno. Šādas sankcijas ir iedarbīgas, samērīgas un atturošas. |
| 2. Each Member State shall notify to the Commission the provisions of its law which it adopts pursuant to paragraph 1, by 25 May 2018 and, without delay, any subsequent amendment affecting them. | 2. Līdz 2018. gada 25. maijam katra dalībvalsts paziņo Komisijai to tiesību aktu noteikumus, ko tā pieņem, ievērojot 1. punktu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem. |
| CHAPTER IX | IX NODAĻA |
| Provisions relating to specific processing situations | Noteikumi par īpašām apstrādes situācijām |
| Article 85 | 85. pants |
| Processing and freedom of expression and information | Apstrāde un vārda un informācijas brīvība |
| 1. Member States shall by law reconcile the right to the protection of personal data pursuant to this Regulation with the right to freedom of expression and information, including processing for journalistic purposes and the purposes of academic, artistic or literary expression. | 1. Dalībvalstis ar tiesību aktiem saglabā līdzsvaru starp tiesībām uz personas datu aizsardzību saskaņā ar šo regulu un tiesībām uz vārda un informācijas brīvību, tostarp apstrādi žurnālistikas vajadzībām un akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām. |
| 2. For processing carried out for journalistic purposes or the purpose of academic artistic or literary expression, Member States shall provide for exemptions or derogations from Chapter II (principles), Chapter III (rights of the data subject), Chapter IV (controller and processor), Chapter V (transfer of personal data to third countries or international organisations), Chapter VI (independent supervisory authorities), Chapter VII (cooperation and consistency) and Chapter IX (specific data processing situations) if they are necessary to reconcile the right to the protection of personal data with the freedom of expression and information. | 2. Apstrādei žurnālistikas vajadzībām vai akadēmiskās, mākslinieciskās vai literārās izpausmes vajadzībām dalībvalstis paredz izņēmumus vai atkāpes no II nodaļas (Principi), III nodaļas (Datu subjekta tiesības), IV nodaļas (Pārzinis un apstrādātājs), V nodaļas (Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām), VI nodaļas (Neatkarīgas uzraudzības iestādes), VII nodaļas (Sadarbība un konsekvence) un IX nodaļas (Īpašas datu apstrādes situācijas) attiecībā apstrādi, ja tas ir nepieciešams, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un vārda un informācijas brīvību. |
| 3. Each Member State shall notify to the Commission the provisions of its law which it has adopted pursuant to paragraph 2 and, without delay, any subsequent amendment law or amendment affecting them. | 3. Katra dalībvalsts paziņo Komisijai to tiesību aktu noteikumus, ko tā pieņēmusi, ievērojot 2. punktu, un nekavējoties paziņo Komisijai par jebkuru turpmāku grozošo aktu jebkuriem turpmākiem šo noteikumu grozījumiem. |
| Article 86 | 86. pants |
| Processing and public access to official documents | Apstrāde un publiska piekļuve oficiāliem dokumentiem |
| Personal data in official documents held by a public authority or a public body or a private body for the performance of a task carried out in the public interest may be disclosed by the authority or body in accordance with Union or Member State law to which the public authority or body is subject in order to reconcile public access to official documents with the right to the protection of personal data pursuant to this Regulation. | Personas datus, kas iekļauti oficiālos dokumentos, kuri ir publiskas iestādes vai publiskas vai privātas struktūras rīcībā, lai veiktu kādu uzdevumu sabiedrības interesēs, šī iestāde vai struktūra drīkst atklāt saskaņā ar Savienības vai dalībvalsts tiesību aktiem, ko piemēro publiskai iestādei vai struktūrai, lai publisku piekļuvi oficiāliem dokumentiem saskaņotu ar tiesībām uz personas datu aizsardzību saskaņā ar šo regulu. |
| Article 87 | 87. pants |
| Processing of the national identification number | Valsts identifikācijas numura apstrāde |
| Member States may further determine the specific conditions for the processing of a national identification number or any other identifier of general application. In that case the national identification number or any other identifier of general application shall be used only under appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation. | Dalībvalstis var sīkāk paredzēt īpašus nosacījumus attiecībā uz attiecīgās valsts identifikācijas numura vai jebkura cita vispārēja pielietojuma identifikatora apstrādi. Minētajā gadījumā valsts identifikācijas numuru vai jebkuru citu vispārēja pielietojuma identifikatoru izmanto vienīgi saskaņā ar atbilstošām garantijām datu subjekta tiesībām un brīvībām saskaņā ar šo regulu. |
| Article 88 | 88. pants |
| Processing in the context of employment | Apstrāde saistībā ar nodarbinātību |
| 1. Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees' personal data in the employment context, in particular for the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, protection of employer's or customer's property and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship. | 1. Ar tiesību aktiem vai ar koplīgumiem dalībvalstis var paredzēt konkrētākus noteikumus, lai nodrošinātu tiesību un brīvību aizsardzību attiecībā uz darbinieku personas datu apstrādi saistībā ar nodarbinātību, jo īpaši darbā pieņemšanas nolūkos, darba līguma izpildei, ietverot likumā vai koplīgumā paredzētu saistību izpildi, darba vadībai, plānošanai un organizēšanai, vienlīdzībai un daudzveidībai darbavietā, veselībai un drošībai darbavietā, darba devēja vai klienta īpašuma aizsardzībai un individuālu vai kolektīvu ar nodarbinātību saistītu tiesību vai priekšrocību izmantošanas vai baudīšanas nolūkos un darba attiecību izbeigšanas nolūkos. |
| 2. Those rules shall include suitable and specific measures to safeguard the data subject's human dignity, legitimate interests and fundamental rights, with particular regard to the transparency of processing, the transfer of personal data within a group of undertakings, or a group of enterprises engaged in a joint economic activity and monitoring systems at the work place. | 2. Minētie noteikumi ietver piemērotus un konkrētus pasākumus nolūkā aizsargāt datu subjekta cilvēka cieņu, leģitīmas intereses un pamattiesības, jo īpaši attiecībā uz apstrādes pārredzamību, personas datu nosūtīšanu uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistīta kopīgā saimnieciskā darbībā, ietvaros un uzraudzības sistēmām darba vietā. |
| 3. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph 1, by 25 May 2018 and, without delay, any subsequent amendment affecting them. | 3. Katra dalībvalsts līdz 2018. gada 25. maijam paziņo Komisijai to tiesību aktu noteikumus, ko tā pieņem, ievērojot 1. punktu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem. |
| Article 89 | 89. pants |
| Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes | Garantijas un atkāpes, kas attiecas uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos |
| 1. Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, shall be subject to appropriate safeguards, in accordance with this Regulation, for the rights and freedoms of the data subject. Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner. Where those purposes can be fulfilled by further processing which does not permit or no longer permits the identification of data subjects, those purposes shall be fulfilled in that manner. | 1. Uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar šo regulu attiecas atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām nodrošina, ka pastāv tehniski un organizatoriski pasākumi, jo īpaši, lai nodrošinātu datu minimizēšanas principa ievērošanu. Minētie pasākumi var ietvert pseidonimizēšanu, ar noteikumu, ka minētos nolūkus var sasniegt minētajā veidā. Ja minētos nolūkus var sasniegt, veicot turpmāku apstrādi, kas neļauj vai vairs neļauj identificēt datu subjektus, minētos nolūkus sasniedz minētajā veidā. |
| 2. Where personal data are processed for scientific or historical research purposes or statistical purposes, Union or Member State law may provide for derogations from the rights referred to in Articles 15, 16, 18 and 21 subject to the conditions and safeguards referred to in paragraph 1 of this Article in so far as such rights are likely to render impossible or seriously impair the achievement of the specific purposes, and such derogations are necessary for the fulfilment of those purposes. | 2. Ja personas datus apstrādā zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, Savienības vai dalībvalsts tiesību aktos var paredzēt atkāpes no tiesībām, kas minētas 15., 16., 18. un 21. pantā, ņemot vērā šā panta 1. punktā minētos nosacījumus un garantijas, ciktāl šādas tiesības var neļaut vai būtiski traucēt sasniegt konkrētos nolūkus, un šādas atkāpes ir vajadzīgas minēto nolūku sasniegšanai. |
| 3. Where personal data are processed for archiving purposes in the public interest, Union or Member State law may provide for derogations from the rights referred to in Articles 15, 16, 18, 19, 20 and 21 subject to the conditions and safeguards referred to in paragraph 1 of this Article in so far as such rights are likely to render impossible or seriously impair the achievement of the specific purposes, and such derogations are necessary for the fulfilment of those purposes. | 3. Ja personas datus apstrādā statistikas nolūkos sabiedrības interesēs, Savienības vai dalībvalsts tiesību aktos var paredzēt atkāpes no tiesībām, kas minētas 15., 16., 18., 19., 20. un 21. pantā, ņemot vērā šā panta 1. punktā minētos nosacījumus un garantijas, ciktāl šādas tiesības var neļaut vai būtiski traucēt sasniegt konkrētos nolūkus, un šādas atkāpes ir vajadzīgas minēto nolūku sasniegšanai. |
| 4. Where processing referred to in paragraphs 2 and 3 serves at the same time another purpose, the derogations shall apply only to processing for the purposes referred to in those paragraphs. | 4. Ja 2. un 3. punktā minētā apstrāde vienlaikus kalpo vēl citam nolūkam, atkāpes piemēro vienīgi apstrādei, kas tiek veikta minētajos punktos paredzētajos nolūkos. |
| Article 90 | 90. pants |
| Obligations of secrecy | Pienākumi ievērot slepenību |
| 1. Member States may adopt specific rules to set out the powers of the supervisory authorities laid down in points (e) and (f) of Article 58(1) in relation to controllers or processors that are subject, under Union or Member State law or rules established by national competent bodies, to an obligation of professional secrecy or other equivalent obligations of secrecy where this is necessary and proportionate to reconcile the right of the protection of personal data with the obligation of secrecy. Those rules shall apply only with regard to personal data which the controller or processor has received as a result of or has obtained in an activity covered by that obligation of secrecy. | 1. Dalībvalstis var pieņemt īpašus noteikumus, kuri paredz uzraudzības iestāžu pilnvaras, kas minētas 58. panta 1. punkta e) un f) apakšpunktā, attiecībā uz pārziņiem vai apstrādātājiem, uz kuriem saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma glabāšanas pienākums vai citi līdzvērtīgi pienākumi ievērot slepenību, ja tas ir nepieciešami un samērīgi, lai panāktu līdzsvaru starp tiesībām uz personas datu aizsardzību un pienākumu ievērot slepenību. Minētos noteikumus piemēro tikai tiem personas datiem, ko pārzinis vai apstrādātājs saņēmis vai ieguvis tādas darbības rezultātā, uz kuru attiecas minētais pienākums ievērot slepenību, vai ieguvis tādas darbības laikā. |
| 2. Each Member State shall notify to the Commission the rules adopted pursuant to paragraph 1, by 25 May 2018 and, without delay, any subsequent amendment affecting them. | 2. Katra dalībvalsts līdz 2018. gada 25. maijam paziņo Komisijai par noteikumiem, ko tā pieņēmusi, ievērojot 1. punktu, un nekavējoties paziņo Komisijai par jebkuriem turpmākiem šo noteikumu grozījumiem. |
| Article 91 | 91. pants |
| Existing data protection rules of churches and religious associations | Esošie baznīcu un reliģisko apvienību datu aizsardzības noteikumi |
| 1. Where in a Member State, churches and religious associations or communities apply, at the time of entry into force of this Regulation, comprehensive rules relating to the protection of natural persons with regard to processing, such rules may continue to apply, provided that they are brought into line with this Regulation. | 1. Ja baznīca un reliģiska apvienība vai kopiena kādā dalībvalstī šīs regulas spēkā stāšanās laikā piemēro vispusīgus noteikumus par fizisku personu aizsardzību attiecībā uz apstrādi, šādus noteikumus var turpināt piemērot ar noteikumu, ka tos saskaņo ar šo regulu. |
| 2. Churches and religious associations which apply comprehensive rules in accordance with paragraph 1 of this Article shall be subject to the supervision of an independent supervisory authority, which may be specific, provided that it fulfils the conditions laid down in Chapter VI of this Regulation. | 2. Baznīcas un reliģiskas apvienības, kas piemēro vispusīgus noteikumus saskaņā ar šā panta 1. punktu, ir pakļautas neatkarīgas pārraudzības iestādes pārraudzībai, kura var būt specifiska, ar noteikumu, ka tā atbilst nosacījumiem, kas paredzēti šīs regulas VI nodaļā. |
| CHAPTER X | X NODAĻA |
| Delegated acts and implementing acts | Deleģētie akti un īstenošanas akti |
| Article 92 | 92. pants |
| Exercise of the delegation | Deleģēšanas īstenošana |
| 1. The power to adopt delegated acts is conferred on the Commission subject to the conditions laid down in this Article. | 1. Pilnvaras pieņemt deleģētos aktus Komisijai piešķir, ievērojot šajā pantā izklāstītos nosacījumus. |
| 2. The delegation of power referred to in Article 12(8) and Article 43(8) shall be conferred on the Commission for an indeterminate period of time from 24 May 2016. | 2. Pilnvaras pieņemt 12. panta 8. punktā un 43. panta 8. punktā minētos deleģētos aktus Komisijai piešķir uz nenoteiktu laiku no 2016. gada 24. maija. |
| 3. The delegation of power referred to in Article 12(8) and Article 43(8) may be revoked at any time by the European Parliament or by the Council. A decision of revocation shall put an end to the delegation of power specified in that decision. It shall take effect the day following that of its publication in the Official Journal of the European Union or at a later date specified therein. It shall not affect the validity of any delegated acts already in force. | 3. Eiropas Parlaments vai Padome jebkurā laikā var atsaukt 12. panta 8. punktā un 43. panta 8. punktā minēto pilnvaru deleģēšanu. Ar lēmumu par atsaukšanu izbeidz tajā norādīto pilnvaru deleģēšanu. Lēmums stājas spēkā nākamajā dienā pēc tā publicēšanas Eiropas Savienības Oficiālajā Vēstnesī vai vēlākā dienā, kas tajā norādīta. Tas neskar jau spēkā esošos deleģētos aktus. |
| 4. As soon as it adopts a delegated act, the Commission shall notify it simultaneously to the European Parliament and to the Council. | 4. Tiklīdz Komisija pieņem deleģēto aktu, tā par to paziņo vienlaikus Eiropas Parlamentam un Padomei. |
| 5. A delegated act adopted pursuant to Article 12(8) and Article 43(8) shall enter into force only if no objection has been expressed by either the European Parliament or the Council within a period of three months of notification of that act to the European Parliament and the Council or if, before the expiry of that period, the European Parliament and the Council have both informed the Commission that they will not object. That period shall be extended by three months at the initiative of the European Parliament or of the Council. | 5. Saskaņā ar 12. panta 8. punktu un 43. panta 8. punktu pieņemts deleģētais akts stājas spēkā tikai tad, ja trīs mēnešos no dienas, kad minētais akts paziņots Eiropas Parlamentam un Padomei, ne Eiropas Parlaments, ne Padome nav izteikuši iebildumus vai ja pirms minētā laikposma beigām gan Eiropas Parlaments, gan Padome ir informējuši Komisiju par savu nodomu neizteikt iebildumus. Pēc Eiropas Parlamenta vai Padomes iniciatīvas šo laikposmu pagarina par trīs mēnešiem. |
| Article 93 | 93. pants |
| Committee procedure | Komiteju procedūra |
| 1. The Commission shall be assisted by a committee. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011. | 1. Komisijai palīdz komiteja. Minētā komiteja ir komiteja Regulas (ES) Nr. 182/2011 nozīmē. |
| 2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply. | 2. Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 5. pantu. |
| 3. Where reference is made to this paragraph, Article 8 of Regulation (EU) No 182/2011, in conjunction with Article 5 thereof, shall apply. | 3. Ja ir atsauce uz šo punktu, piemēro Regulas (ES) Nr. 182/2011 8. pantu saistībā ar tās 5. pantu. |
| CHAPTER XI | XI NODAĻA |
| Final provisions | Nobeiguma noteikumi |
| Article 94 | 94. pants |
| Repeal of Directive 95/46/EC | Direktīvas 95/46/EK atcelšana |
| 1. Directive 95/46/EC is repealed with effect from 25 May 2018. | 1. Direktīvu 95/46/EK atceļ no 2018. gada 25. maija. |
| 2. References to the repealed Directive shall be construed as references to this Regulation. References to the Working Party on the Protection of Individuals with regard to the Processing of Personal Data established by Article 29 of Directive 95/46/EC shall be construed as references to the European Data Protection Board established by this Regulation. | 2. Atsauces uz atcelto direktīvu uzskata par atsaucēm uz šo regulu. Atsauces uz Darba grupu personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota ar Direktīvas 95/46/EK 29. pantu, uzskata par atsaucēm uz Eiropas Datu aizsardzības kolēģiju, kas izveidota ar šo regulu. |
| Article 95 | 95. pants |
| Relationship with Directive 2002/58/EC | Saistība ar Direktīvu 2002/58/EK |
| This Regulation shall not impose additional obligations on natural or legal persons in relation to processing in connection with the provision of publicly available electronic communications services in public communication networks in the Union in relation to matters for which they are subject to specific obligations with the same objective set out in Directive 2002/58/EC. | Šī regula neuzliek papildu pienākumus fiziskām vai juridiskām personām attiecībā uz apstrādi saistībā ar publiski pieejamu elektronisko komunikāciju pakalpojumu sniegšanu publiskos komunikāciju tīklos Savienībā jautājumos, saistībā ar kuriem tām ir piemērojami Direktīvas 2002/58/EK īpašie noteikumi ar to pašu mērķi. |
| Article 96 | 96. pants |
| Relationship with previously concluded Agreements | Saistība ar iepriekš noslēgtiem nolīgumiem |
| International agreements involving the transfer of personal data to third countries or international organisations which were concluded by Member States prior to 24 May 2016, and which comply with Union law as applicable prior to that date, shall remain in force until amended, replaced or revoked. | Starptautiskie nolīgumi, kuri ietver personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām un kurus dalībvalstis ir noslēgušas pirms 2016. gada 24. maija, un kuri ir saskaņā ar Savienības tiesību aktiem, kas ir piemērojami pirms minētās dienas, paliek spēkā līdz brīdim, kad tie tiek grozīti, aizstāti vai atcelti. |
| Article 97 | 97. pants |
| Commission reports | Komisijas ziņojumi |
| 1. By 25 May 2020 and every four years thereafter, the Commission shall submit a report on the evaluation and review of this Regulation to the European Parliament and to the Council. The reports shall be made public. | 1. Komisija līdz 2020. gada 25. maijam un pēc tam reizi četros gados iesniedz šīs regulas novērtējuma un pārskata ziņojumus Eiropas Parlamentam un Padomei. Ziņojumus publisko. |
| 2. In the context of the evaluations and reviews referred to in paragraph 1, the Commission shall examine, in particular, the application and functioning of: | 2. Saistībā ar 1. punktā minētajiem novērtējumiem un pārskatiem Komisija jo īpaši pārbauda, kā tiek piemērota un darbojas: |
| (a) | Chapter V on the transfer of personal data to third countries or international organisations with particular regard to decisions adopted pursuant to Article 45(3) of this Regulation and decisions adopted on the basis of Article 25(6) of Directive 95/46/EC; | a) | V nodaļa par personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām, jo īpaši attiecībā uz lēmumiem, kas pieņemti saskaņā ar šīs regulas 45. panta 3. punktu, un lēmumiem, kas pieņemti, balstoties uz Direktīvas 95/46/EK 25. panta 6. punktu; |
| (b) | Chapter VII on cooperation and consistency. | b) | VII nodaļa par sadarbību un konsekvenci. |
| 3. For the purpose of paragraph 1, the Commission may request information from Member States and supervisory authorities. | 3. Piemērojot 1. punktu, Komisija var pieprasīt informāciju no dalībvalstīm un uzraudzības iestādēm. |
| 4. In carrying out the evaluations and reviews referred to in paragraphs 1 and 2, the Commission shall take into account the positions and findings of the European Parliament, of the Council, and of other relevant bodies or sources. | 4. Veicot 1. un 2. punktā minētos novērtējumus un pārskatīšanu, Komisija ņem vērā Eiropas Parlamenta un Padomes viedokļus un atzinumus, un tos, kas iegūti no citām attiecīgajām struktūrām vai avotiem. |
| 5. The Commission shall, if necessary, submit appropriate proposals to amend this Regulation, in particular taking into account of developments in information technology and in the light of the state of progress in the information society. | 5. Komisija, ja nepieciešams, iesniedz atbilstīgus priekšlikumus, lai grozītu šo regulu, jo īpaši ņemot vērā informācijas tehnoloģiju attīstību un progresu informācijas sabiedrībā. |
| Article 98 | 98. pants |
| Review of other Union legal acts on data protection | Citu Savienības tiesību aktu datu aizsardzības jomā pārskatīšana |
| The Commission shall, if appropriate, submit legislative proposals with a view to amending other Union legal acts on the protection of personal data, in order to ensure uniform and consistent protection of natural persons with regard to processing. This shall in particular concern the rules relating to the protection of natural persons with regard to processing by Union institutions, bodies, offices and agencies and on the free movement of such data. | Komisija attiecīgā gadījumā iesniedz leģislatīvu aktu priekšlikumus, lai izdarītu grozījumus citos Savienības tiesību aktos personas datu aizsardzības jomā nolūkā nodrošināt fizisku personu vienādu un konsekventu aizsardzību attiecībā uz apstrādi. Tas jo īpaši attiecas uz noteikumiem par fizisku personu aizsardzību attiecībā uz apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un uz šādu datu brīvu apriti. |
| Article 99 | 99. pants |
| Entry into force and application | Stāšanās spēkā un piemērošana |
| 1. This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. | 1. Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī. |
| 2. It shall apply from 25 May 2018. | 2. To piemēro no 2018. gada 25. maija. |
| This Regulation shall be binding in its entirety and directly applicable in all Member States. | Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs. |
| Done at Brussels, 27 April 2016. | Briselē, 2016. gada 27. aprīlī |
| For the European Parliament | Eiropas Parlamenta vārdā – |
| The President | priekšsēdētājs |
| M. SCHULZ | M. SCHULZ |
| For the Council | Padomes vārdā – |
| The President | priekšsēdētāja |
| J.A. HENNIS-PLASSCHAERT | J.A. HENNIS-PLASSCHAERT |
| (1)
OJ C 229, 31.7.2012, p. 90. | (1)
OV C 229, 31.7.2012., 90. lpp. |
| (2)
OJ C 391, 18.12.2012, p. 127. | (2)
OV C 391, 18.12.2012., 127. lpp. |
| (3) Position of the European Parliament of 12 March 2014 (not yet published in the Official Journal) and position of the Council at first reading of 8 April 2016 (not yet published in the Official Journal). Position of the European Parliament of 14 April 2016. | (3) Eiropas Parlamenta 2014. gada 12. marta nostāja (Oficiālajā Vēstnesī vēl nav publicēta) un Padomes 2016. gada 8. aprīļa nostāja pirmajā lasījumā (Oficiālajā Vēstnesī vēl nav publicēta). Eiropas Parlamenta 2016. gada 14. aprīļa nostāja. |
| (4) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ L 281, 23.11.1995, p. 31). | (4) Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV L 281, 23.11.1995., 31. lpp.). |
| (5) Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (C(2003) 1422) (OJ L 124, 20.5.2003, p. 36). | (5) Komisijas 2003. gada 6. maija Ieteikums par mikrouzņēmumu, mazo un vidējo uzņēmumu definīciju (C(2003) 1422) (OV L 124, 20.5.2003., 36. lpp.). |
| (6) Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data (OJ L 8, 12.1.2001, p. 1). | (6) Eiropas Parlamenta un Padomes Regula (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV L 8, 12.1.2001., 1. lpp.). |
| (7) Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data and repealing Council Framework Decision 2008/977/JHA (see page 89 of this Official Journal). | (7) Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (skatīt šā Oficiālā Vēstneša 89. lpp.). |
| (8) Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market (‘Directive on electronic commerce’) (OJ L 178, 17.7.2000, p. 1). | (8) Eiropas Parlamenta un Padomes Direktīva 2000/31/EK (2000. gada 8. jūnijs) par dažiem informācijas sabiedrības pakalpojumu tiesiskiem aspektiem, jo īpaši elektronisko tirdzniecību, iekšējā tirgū (Direktīva par elektronisko tirdzniecību) (OV L 178, 17.7.2000., 1. lpp.). |
| (9) Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). | (9) Eiropas Parlamenta un Padomes Direktīva 2011/24/ES (2011. gada 9. marts) par pacientu tiesību piemērošanu pārrobežu veselības aprūpē (OV L 88, 4.4.2011., 45. lpp.). |
| (10) Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). | (10) Padomes Direktīva 93/13/EEK (1993. gada 5. aprīlis) par negodīgiem noteikumiem patērētāju līgumos (OV L 95, 21.4.1993., 29. lpp.). |
| (11) Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). | (11) Eiropas Parlamenta un Padomes Regula (EK) Nr. 1338/2008 (2008. gada 16. decembris) attiecībā uz Kopienas statistiku par sabiedrības veselību un veselības aizsardzību un drošību darbā (OV L 354, 31.12.2008., 70. lpp.). |
| (12) Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). | (12) Eiropas Parlamenta un Padomes Regula (ES) Nr. 182/2011 (2011. gada 16. februāris), ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu (OV L 55, 28.2.2011., 13. lpp.). |
| (13) Regulation (EU) No 1215/2012 of the European Parliament and of the Council of 12 December 2012 on jurisdiction and the recognition and enforcement of judgments in civil and commercial matters (OJ L 351, 20.12.2012, p. 1). | (13) Eiropas Parlamenta un Padomes Regula (ES) Nr. 1215/2012 (2012. gada 12. decembris) par jurisdikciju un spriedumu atzīšanu un izpildi civillietās un komerclietās (OV L 351, 20.12.2012., 1. lpp.). |
| (14) Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the re-use of public sector information (OJ L 345, 31.12.2003, p. 90). | (14) Eiropas Parlamenta un Padomes Direktīva 2003/98/EK (2003. gada 17. novembris) par valsts sektora informācijas atkalizmantošanu (OV L 345, 31.12.2003., 90. lpp.). |
| (15) Regulation (EU) No 536/2014 of the European Parliament and of the Council of 16 April 2014 on clinical trials on medicinal products for human use, and repealing Directive 2001/20/EC (OJ L 158, 27.5.2014, p. 1). | (15) Eiropas Parlamenta un Padomes Regula (ES) Nr. 536/2014 (2014. gada 16. aprīlis) par cilvēkiem paredzētu zāļu klīniskajām pārbaudēm un ar ko atceļ Direktīvu 2001/20/EK (OV L 158, 27.5.2014., 1. lpp.). |
| (16) Regulation (EC) No 223/2009 of the European Parliament and of the Council of 11 March 2009 on European statistics and repealing Regulation (EC, Euratom) No 1101/2008 of the European Parliament and of the Council on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities, Council Regulation (EC) No 322/97 on Community Statistics, and Council Decision 89/382/EEC, Euratom establishing a Committee on the Statistical Programmes of the European Communities (OJ L 87, 31.3.2009, p. 164). | (16) Eiropas Parlamenta un Padomes Regula (EK) Nr. 223/2009 (2009. gada 11. marts) par Eiropas statistiku un ar ko atceļ Eiropas Parlamenta un Padomes Regulu (EK, Euratom) Nr. 1101/2008 par tādas statistikas informācijas nosūtīšanu Eiropas Kopienu Statistikas birojam, uz kuru attiecas konfidencialitāte, Padomes Regulu (EK) Nr. 322/97 par Kopienas statistiku un Padomes Lēmumu 89/382/EEK, Euratom, ar ko nodibina Eiropas Kopienu Statistikas programmu komiteju (OV L 87, 31.3.2009., 164. lpp.). |
| (17)
OJ C 192, 30.6.2012, p. 7. | (17)
OV C 192, 30.6.2012., 7. lpp. |
| (18) Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37). | (18) Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV L 201, 31.7.2002., 37. lpp.). |
| (19) Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1). | (19) Eiropas Parlamenta un Padomes Direktīva (ES) 2015/1535 (2015. gada 9. septembris), ar ko nosaka informācijas sniegšanas kārtību tehnisko noteikumu un Informācijas sabiedrības pakalpojumu noteikumu jomā (OV L 241, 17.9.2015., 1. lpp.). |
| (20) Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and market surveillance relating to the marketing of products and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30). | (20) Eiropas Parlamenta un Padomes Regula (EK) 765/2008 (2008. gada 9. jūlijs), ar ko nosaka akreditācijas un tirgus uzraudzības prasības attiecībā uz produktu tirdzniecību un atceļ Regulu (EEK) Nr. 339/93 (OV L 218, 13.8.2008., 30. lpp.). |
| (21) Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents (OJ L 145, 31.5.2001, p. 43). | (21) Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (2001. gada 30. maijs) par publisku piekļuvi Eiropas Parlamenta, Padomes un Komisijas dokumentiem (OV L 145, 31.5.2001., 43. lpp.). |
