Les Considérants

Apsvērumi

Fragments no Bruno DUMAY grāmatas: GDPR ATŠĶIRŠANA – uzņēmumu un organizāciju vadītājiem, stratēģiskajiem departamentiem un darbiniekiem – Gaëlle MONTEILLER priekšvārds

Mēs nevarējām palaist garām apsvērumus, vismaz galvenos, kas motivēja GDPR. Tie veido filozofiju, kas atjaunota galīgajā regulā un direktīvā, tie vienotā prizmā atšifrē un saskaņo visus dalībvalstu tiesību aktu apsvērumus datu aizsardzības tiesību aktu ziņā. Tie iemieso Eiropas daudzveidību, vienlaikus veidojot vienotu kopumu. Tie izgaismo mūsu izpratni un piešķir jēgu, tie liecina par to, ka kaut kas dziļš notiek, noteikti un no pirmā acu uzmetiena, reaģējot uz GAFA, Google, Apple, Facebook, Amazon, Deezer, Instagram, Snapchat un citiem, kas ir izlaupījuši mūsu uzvedību, vēlmes un sapņus... Dalībnieki, kuru vienīgais apsvērums mums ir mūsu maks!

Man šķita svarīgi sniegt jums galvenos apsvērumus un/vai svarīgākās rindkopas. Ja vēlaties turpināt, vēlreiz atkārtoju, ka CNIL tīmekļa vietne ir īpaši visaptveroša, un es aicinu jūs to apmeklēt...

(1. apsvērums) Fizisko personu aizsardzība attiecībā uz personas datu apstrādi ir pamattiesības. … paredz, ka ikvienam ir tiesības uz savu personas datu aizsardzību.

(2. apsvērums) Principiem un noteikumiem, kas reglamentē fizisko personu aizsardzību attiecībā uz viņu personas datu apstrādi, neatkarīgi no šo fizisko personu valstspiederības vai dzīvesvietas būtu jāievēro viņu pamattiesības un brīvības, jo īpaši tiesības uz personas datu aizsardzību. … veicināt brīvības, drošības un tiesiskuma telpas un ekonomiskās savienības izveidi, ekonomisko un sociālo attīstību, ekonomiku konsolidāciju un konverģenci iekšējā tirgū, kā arī fizisko personu labklājību.

(3. apsvērums) ... Padomes mērķis ir saskaņot fizisko personu pamattiesību un brīvību aizsardzību attiecībā uz apstrādes darbībām un nodrošināt personas datu brīvu apriti starp dalībvalstīm.

(4. apsvērums) Personas datu apstrādei jābūt paredzētai cilvēces labā. Tiesības uz personas datu aizsardzību nav absolūtas tiesības; tās ir jāapsver saistībā ar to funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām saskaņā ar proporcionalitātes principu. …privātās un ģimenes dzīves, mājokļa un saziņas neaizskaramība, personas datu aizsardzība, domu, apziņas un reliģijas brīvība, vārda un informācijas brīvība, darījumdarbības brīvība, tiesības uz efektīvu tiesību aizsardzību un taisnīgu tiesu, kā arī kultūras, reliģiskā un valodu daudzveidība.

(6. apsvērums) Straujā tehnoloģiju attīstība un globalizācija ir radījusi jaunus izaicinājumus personas datu aizsardzībā. Personas datu vākšanas un koplietošanas apmērs ir ievērojami palielinājies. Tehnoloģijas ļauj gan privātiem uzņēmumiem, gan valsts iestādēm izmantot personas datus savās darbībās kā vēl nekad. Personas arvien vairāk padara informāciju par sevi publiski un globāli pieejamu. Tehnoloģijas ir pārveidojušas gan ekonomiskās, gan sociālās attiecības, un tām būtu vēl vairāk jāveicina personas datu brīva plūsma Savienībā un to pārsūtīšana uz trešajām valstīm un starptautiskām organizācijām, vienlaikus nodrošinot augstu personas datu aizsardzības līmeni.

(7. apsvērums) ...ir svarīgi veidot uzticēšanos, kas ļaus digitālajai ekonomikai uzplaukt visā iekšējā tirgū. Indivīdiem vajadzētu būt kontrolei pār saviem personas datiem. ...

(9. apsvērums) ... datu aizsardzības īstenošanas sadrumstalotība Savienībā, juridiskā nenoteiktība vai plaši izplatīts sabiedrības uzskats, ka joprojām pastāv būtiski riski personu aizsardzībai, jo īpaši saistībā ar tiešsaistes vidi. Atšķirības fizisko personu tiesību un brīvību aizsardzības līmenī, jo īpaši tiesībās uz personas datu aizsardzību, attiecībā uz personas datu apstrādi dalībvalstīs var kavēt šādu datu brīvu apriti visā Savienībā. Tādēļ šādas atšķirības var radīt šķērsli saimniecisko darbību veikšanai Savienības līmenī, kropļot konkurenci un liegt iestādēm pildīt savus pienākumus saskaņā ar Savienības tiesību aktiem. ...

(10. apsvērums) Lai nodrošinātu konsekventu un augstu fizisko personu aizsardzības līmeni un novērstu šķēršļus personas datu plūsmai Savienībā, fizisko personu tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt līdzvērtīgam. Tādēļ ir lietderīgi nodrošināt konsekventu un vienādu noteikumu par fizisko personu pamattiesību un brīvību aizsardzību attiecībā uz personas datu apstrādi piemērošanu visā Savienībā. …

(11. apsvērums) Lai nodrošinātu efektīvu personas datu aizsardzību visā Savienībā, ir jāstiprina un jāprecizē datu subjektu tiesības un to personu pienākumi, kuras veic un nosaka personas datu apstrādi, kā arī jānodrošina dalībvalstīs līdzvērtīgas uzraudzības un kontroles pilnvaras attiecībā uz personas datu aizsardzības noteikumu ievērošanu un līdzvērtīgas sankcijas par pārkāpumiem.

(13. apsvērums)

Lai nodrošinātu vienādu fizisko personu aizsardzības līmeni visā Savienībā un lai izvairītos no atšķirībām, kas kavē personas datu brīvu apriti iekšējā tirgū, ir nepieciešama regula, kas nodrošinātu juridisko noteiktību un pārredzamību uzņēmējiem, tostarp mikrouzņēmumiem, mazajiem un vidējiem uzņēmumiem, lai nodrošinātu fiziskām personām visās dalībvalstīs vienādu īstenojamu tiesību, pienākumu un atbildības līmeni pārziņiem un apstrādātājiem un lai nodrošinātu konsekventu personas datu apstrādes uzraudzību un līdzvērtīgus sodus visās dalībvalstīs, kā arī efektīvu sadarbību starp dažādu dalībvalstu uzraudzības iestādēm. Lai iekšējais tirgus darbotos pareizi, ir nepieciešams, lai personas datu brīva plūsma Savienībā netiktu ierobežota vai aizliegta, pamatojoties uz iemesliem, kas saistīti ar fizisko personu aizsardzību attiecībā uz personas datu apstrādi. …

(14. apsvērums) Šīs regulas noteiktā aizsardzība būtu jāattiecina uz fiziskām personām neatkarīgi no viņu valstspiederības vai dzīvesvietas attiecībā uz viņu personas datu apstrādi. Šī regula neattiecas uz tādu personas datu apstrādi, kas attiecas uz juridiskām personām, …

 (17. apsvērums) Eiropas Parlamenta un Padomes Regula (EK) Nr. 45/2001 attiecas uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās. …

(19. apsvērums) Fizisku personu aizsardzība attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes noziedzīgu nodarījumu novēršanas, izmeklēšanas, atklāšanas vai kriminālvajāšanas vai kriminālsodu izpildes nolūkos, tostarp aizsardzībai pret draudiem sabiedriskajai drošībai un šādu draudu novēršanai, un šādu datu brīva aprite ir noteikta īpašā Savienības tiesību aktā. …

(22. apsvērums) Jebkura personas datu apstrāde, kas notiek saistībā ar pārziņa vai apstrādātāja uzņēmējdarbības vietas darbībām Savienības teritorijā, būtu jāveic saskaņā ar šo regulu neatkarīgi no tā, vai pati apstrāde notiek Savienībā. Uzņēmējdarbības vietas klātbūtne paredz efektīvu un patiesu darbības veikšanu, izmantojot stabilu veidojumu. …

(23. apsvērums) Lai nodrošinātu, ka fiziska persona netiek izslēgta no aizsardzības, uz kuru tai ir tiesības saskaņā ar šo regulu, personas datu apstrāde, kas attiecas uz datu subjektiem, kuri atrodas Savienībā, ko veic pārzinis vai apstrādātājs, kas neveic uzņēmējdarbību Savienībā, būtu jāveic saskaņā ar šo regulu, ja apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šiem datu subjektiem neatkarīgi no tā, vai ir nepieciešama samaksa. Lai noteiktu, vai šāds pārzinis vai apstrādātājs piedāvā preces vai pakalpojumus datu subjektiem, kuri atrodas Savienībā, būtu jānosaka, vai ir skaidrs, ka pārzinis vai apstrādātājs plāno piedāvāt pakalpojumus datu subjektiem vienā vai vairākās Savienības dalībvalstīs. …

(24. apsvērums) Šī regula būtu jāpiemēro arī tādu datu subjektu personas datu apstrādei, kuri atrodas Savienībā, ko veic pārzinis vai apstrādātājs, kas nav reģistrēts Savienībā, ja šāda apstrāde ir saistīta ar minēto datu subjektu uzvedības novērošanu, ciktāl tā attiecas uz viņu uzvedību Savienībā. Lai noteiktu, vai apstrādes darbību var uzskatīt par datu subjektu uzvedības novērošanu, būtu jānosaka, vai fiziskas personas tiek izsekotas internetā, kas ietver iespējamu turpmāku tādu personas datu apstrādes metožu izmantošanu, kas ietver fiziskas personas profilēšanu, jo īpaši, lai pieņemtu lēmumus par viņu vai analizētu vai prognozētu viņa vai viņas vēlmes, uzvedību un attieksmi.

(25. apsvērums) Ja dalībvalsts tiesību akti ir piemērojami saskaņā ar starptautiskajām publiskajām tiesībām, šī regula būtu jāpiemēro arī pārzinim, kas nav reģistrēts Savienībā, …

(26. apsvērums) Datu aizsardzības principi būtu jāpiemēro jebkādai informācijai, kas attiecas uz identificētu vai identificējamu fizisku personu. Personas dati, kas ir pseidonimizēti un kurus varētu attiecināt uz fizisku personu, izmantojot papildu informāciju, būtu jāuzskata par informāciju, kas attiecas uz identificējamu fizisku personu. Nosakot, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis pamatoti varētu izmantot [..].

(27. apsvērums) Šī regula neattiecas uz mirušo personu personas datiem. Dalībvalstis var noteikt noteikumus par mirušo personu personas datu apstrādi.

(28. apsvērums) Personas datu pseidonimizācija var mazināt riskus datu subjektiem un palīdzēt pārziņiem un apstrādātājiem izpildīt savus datu aizsardzības pienākumus. Pseidonimizācijas nepārprotama ieviešana šajā regulā neizslēdz citus datu aizsardzības pasākumus.

(29. apsvērums) Lai veicinātu pseidonimizāciju personas datu apstrādē, pseidonimizācijas pasākumiem vajadzētu būt iespējamiem viena un tā paša pārziņa ietvaros, vienlaikus ļaujot veikt vispārēju analīzi, ja pārzinis ir veicis nepieciešamos tehniskos un organizatoriskos pasākumus, lai nodrošinātu, ka attiecīgajai apstrādei tiek īstenota šī regula un ka papildu informācija, kas ļauj attiecināt personas datus uz konkrētu datu subjektu, tiek glabāta atsevišķi. Pārzinim, kas apstrādā personas datus, būtu jānorāda personas, kuras šim nolūkam ir pilnvarotas viena un tā paša pārziņa ietvaros.

(30. apsvērums) Personas, izmantojot ierīces, lietojumprogrammas, rīkus un protokolus, ko tās izmanto, var tikt saistītas ar tiešsaistes identifikatoriem, piemēram, IP adresēm un sīkfailiem vai citiem identifikatoriem, piemēram, radiofrekvences identifikācijas tagiem. Šie identifikatori var atstāt pēdas, kuras, jo īpaši apvienojumā ar unikāliem identifikatoriem un citu serveru saņemto informāciju, var izmantot, lai izveidotu personu profilus un identificētu šīs personas.

(31. apsvērums) Valsts iestādes, kurām personas dati tiek izpausti saskaņā ar juridisku pienākumu to oficiālo funkciju veikšanai, piemēram, nodokļu un muitas iestādes, finanšu izmeklēšanas vienības, neatkarīgas administratīvās iestādes vai finanšu tirgus iestādes, kas atbild par vērtspapīru tirgu regulēšanu un uzraudzību, nebūtu jāuzskata par saņēmējām, ja tās saņem personas datus, kas ir nepieciešami, lai veiktu konkrētu izmeklēšanu sabiedrības interesēs, …

(32. apsvērums) Piekrišana būtu jādod ar skaidru apstiprinošu darbību, ar kuru datu subjekts brīvi, konkrētā, informētā un nepārprotamā veidā apliecina savu piekrišanu savu personas datu apstrādei, piemēram, ar rakstisku paziņojumu, tostarp elektroniski, vai mutisku paziņojumu. Tas varētu būt, piemēram, atzīmējot lodziņu, apmeklējot tīmekļa vietni, izvēloties noteiktus tehniskos iestatījumus informācijas sabiedrības pakalpojumiem vai ar turpmāku paziņojumu vai rīcību, kas šajā kontekstā skaidri norāda, ka datu subjekts piekrīt ierosinātajai savu personas datu apstrādei. Tādēļ nevar pieņemt, ka piekrišana ir balstīta uz klusēšanu, atzīmēšanu pēc noklusējuma vai bezdarbību. …

(36. apsvērums) Pārziņa galvenajai uzņēmējdarbības vietai Savienībā jābūt tā centrālās administrācijas atrašanās vietai Savienībā, ja vien lēmumi par personas datu apstrādes mērķiem un līdzekļiem netiek pieņemti citā pārziņa uzņēmējdarbības vietā Savienībā, tādā gadījumā šī cita uzņēmējdarbības vieta būtu jāuzskata par galveno uzņēmējdarbības vietu. Pārziņa galvenā uzņēmējdarbības vieta Savienībā būtu jānosaka, pamatojoties uz objektīviem kritērijiem, un tai būtu jāietver efektīva un patiesa pārvaldības darbību veikšana, nosakot galvenos lēmumus par apstrādes mērķiem un līdzekļiem stabilā struktūrā. …

(37. apsvērums) Uzņēmumu grupai būtu jāietver kontrolējošais uzņēmums un tā kontrolētie uzņēmumi, pirmais ir tas, kas var īstenot dominējošu ietekmi pār citiem uzņēmumiem, piemēram, pateicoties tā kapitāla īpašumtiesībām, finansiālai līdzdalībai vai noteikumiem, kas to reglamentē, vai pilnvarām īstenot personas datu aizsardzības noteikumus. Uzņēmums, kas kontrolē personas datu apstrādi uzņēmumos, kas ar to saistīti, būtu jāuzskata par uzņēmumu grupas veidotāju kopā ar šiem uzņēmumiem.

(38. apsvērums) Bērni ir pelnījuši īpašu aizsardzību attiecībā uz saviem personas datiem, jo viņi var būt mazāk informēti par attiecīgajiem riskiem, sekām un aizsardzības pasākumiem, kā arī par savām tiesībām, kas saistītas ar personas datu apstrādi. Šai īpašajai aizsardzībai jo īpaši būtu jāattiecas uz bērnu personas datu izmantošanu mārketinga nolūkos vai personības vai lietotāju profilu izveidei, kā arī uz bērnu personas datu vākšanu, izmantojot pakalpojumus, kas tiek piedāvāti tieši bērnam. Vecāku atbildības turētāja piekrišana nebūtu jāpieprasa saistībā ar profilakses vai konsultāciju pakalpojumiem, kas tiek piedāvāti tieši bērnam.

(39. apsvērums) Visai personas datu apstrādei jābūt likumīgai un godprātīgai. Faktam, ka fizisko personu personas dati tiek vākti, izmantoti, tiem piekļūst vai citādi apstrādāti, un apjomam, kādā šādi dati tiek vai tiks apstrādāti, jābūt pārredzamam attiecīgajām fiziskajām personām. Pārredzamības princips nosaka, ka visai informācijai un saziņai, kas saistīta ar šādu personas datu apstrādi, jābūt viegli pieejamai, viegli saprotamai un formulētai skaidrā un vienkāršā valodā. Šis princips jo īpaši attiecas uz informāciju, kas sniegta datu subjektiem par pārziņa identitāti un apstrādes mērķiem, kā arī uz citu informāciju, kuras mērķis ir nodrošināt godprātīgu un pārredzamu apstrādi attiecībā uz attiecīgajām fiziskajām personām un viņu tiesībām saņemt apstiprinājumu un paziņojumu par to, vai viņu personas dati tiek apstrādāti. Fiziskās personas būtu jāinformē par riskiem, noteikumiem, aizsardzības pasākumiem un tiesībām, kas saistītas ar personas datu apstrādi, un par viņu tiesību īstenošanas kārtību saistībā ar šādu apstrādi. …

(40. apsvērums) Lai personas datu apstrāde būtu likumīga, tai jābūt balstītai uz datu subjekta piekrišanu vai jebkuru citu likumīgu pamatu, kas paredzēts likumā, …

(42. apsvērums) Ja apstrāde pamatojas uz datu subjekta piekrišanu, pārzinim būtu jāspēj pierādīt, ka datu subjekts ir piekritis apstrādes darbībai. …

(43. apsvērums) Lai nodrošinātu, ka piekrišana ir sniegta brīvi, tai nevajadzētu būt derīgam juridiskam pamatam personas datu apstrādei konkrētā gadījumā, ja pastāv acīmredzama nevienlīdzība starp datu subjektu un pārzini, jo īpaši, ja pārzinis ir publiska iestāde un ir maz ticams, ka piekrišana tika sniegta brīvi, ņemot vērā visus konkrētās situācijas apstākļus. Piekrišana tiek uzskatīta par nesniegtu brīvi, ja atsevišķu piekrišanu nevar sniegt dažādām personas datu apstrādes darbībām, pat ja tas būtu atbilstoši konkrētajā gadījumā, vai ja līguma izpilde, tostarp pakalpojuma sniegšana, ir atkarīga no piekrišanas, pat ja piekrišana šādai izpildei nav nepieciešama.

(44. apsvērums) Apstrāde būtu jāuzskata par likumīgu, ja tā ir nepieciešama līguma izpildei vai nodomam noslēgt līgumu.

(45. apsvērums) Ja apstrāde tiek veikta, ievērojot pārziņa juridisko pienākumu, vai ja tas ir nepieciešams sabiedrības interesēs vai oficiālas pilnvaras īstenojot veicama uzdevuma veikšanai, apstrādei vajadzētu būt pamatotai ar Savienības vai dalībvalsts tiesību aktiem. …

(46. apsvērums) Personas datu apstrāde būtu jāuzskata par likumīgu arī tad, ja tā ir nepieciešama, lai aizsargātu datu subjekta vai citas fiziskas personas dzīvībai svarīgas intereses. Personas datu apstrāde, pamatojoties uz citas fiziskas personas vitālām interesēm, principā būtu jāveic tikai tad, ja apstrāde acīmredzami nevar tikt balstīta uz citu juridisko pamatu. …

(47. apsvērums) Pārziņa leģitīmās intereses, tostarp pārziņa, kuram var tikt izpausti personas dati, vai trešās personas intereses, var būt apstrādes juridiskais pamats, ja vien datu subjekta intereses vai pamattiesības un brīvības nav svarīgākas, ņemot vērā datu subjektu saprātīgās cerības, kuru pamatā ir viņu attiecības ar pārzini. …

(48. apsvērums) Pārziņiem, kas ir daļa no uzņēmumu grupas vai iestādēm, kas ir saistītas ar centrālo iestādi, var būt likumīgas intereses pārsūtīt personas datus uzņēmumu grupas ietvaros iekšējiem administratīviem mērķiem, tostarp klientu vai darbinieku personas datu apstrādei. …

(49. apsvērums) Personas datu apstrāde tādā apmērā, kādā tas ir absolūti nepieciešams un samērīgs, lai nodrošinātu tīkla un informācijas drošību, t. i., tīkla vai informācijas sistēmas spēju noteiktā uzticēšanās līmenī izturēt nejaušus notikumus vai nelikumīgas vai ļaunprātīgas darbības, kas apdraud uzglabāto vai pārsūtīto personas datu pieejamību, autentiskumu, integritāti un konfidencialitāti, kā arī saistīto pakalpojumu, ko piedāvā vai dara pieejamus, izmantojot šādus tīklus un sistēmas, drošību, ko veic valsts iestādes, datorapdraudējumu reaģēšanas vienības (CERT), datordrošības incidentu reaģēšanas vienības (CSIRT), elektronisko sakaru tīklu un pakalpojumu sniedzēji un drošības tehnoloģiju un pakalpojumu sniedzēji, ir attiecīgā pārziņa leģitīmās intereses. Tas varētu ietvert, piemēram, neatļautas piekļuves elektronisko sakaru tīkliem un ļaunprātīga koda izplatīšanas novēršanu, kā arī "pakalpojuma atteikuma" uzbrukumu un datoru un elektronisko sakaru sistēmu bojājumu apturēšanu.

(50. apsvērums) Personas datu apstrāde citiem mērķiem, nevis tiem, kuriem personas dati sākotnēji tika vākti, būtu jāatļauj tikai tad, ja tā ir saderīga ar mērķiem, kuriem personas dati sākotnēji tika vākti. …

Ja datu subjekts ir devis piekrišanu vai apstrāde pamatojas uz Savienības vai dalībvalsts tiesību aktiem, kas demokrātiskā sabiedrībā ir nepieciešams un samērīgs pasākums, lai nodrošinātu jo īpaši svarīgus vispārējas sabiedrības interešu mērķus, pārzinim būtu jāļauj veikt turpmāku personas datu apstrādi neatkarīgi no mērķu atbilstības. …

(51. apsvērums) Personas dati, kas pēc savas būtības ir īpaši sensitīvi no pamattiesību un brīvību viedokļa, ir pelnījuši īpašu aizsardzību, jo konteksts, kurā tie tiek apstrādāti, varētu radīt ievērojamu risku šīm tiesībām un brīvībām. Šādiem personas datiem būtu jāietver personas dati, kas atklāj rases vai etnisko izcelsmi, saprotot, ka termina "rases izcelsme" lietošana šajā regulā nenozīmē, ka Savienība atbalsta teorijas par atšķirīgu cilvēku rasu pastāvēšanu. …

(52. apsvērums) Atkāpes no aizlieguma apstrādāt īpašas personas datu kategorijas būtu jāatļauj arī tad, ja to paredz Savienības vai dalībvalsts tiesību akti un ievērojot atbilstošus drošības pasākumus personas datu un citu pamattiesību aizsardzībai, ja to prasa sabiedrības intereses, tostarp personas datu apstrādi darba tiesību un sociālās aizsardzības tiesību jomā, tostarp pensiju jomā, un drošības, veselības uzraudzības un brīdināšanas, infekcijas slimību un citu nopietnu veselības apdraudējumu profilakses vai kontroles nolūkos. …

(53. apsvērums) Īpašas personas datu kategorijas, kurām pienākas augstāka aizsardzība, būtu jāapstrādā tikai ar veselību saistītiem mērķiem, ja tas ir nepieciešams šo mērķu sasniegšanai indivīdu un visas sabiedrības interesēs, jo īpaši veselības aprūpes vai sociālās aprūpes pakalpojumu un sistēmu pārvaldības kontekstā, tostarp valsts pārvaldības iestāžu un centrālo veselības aprūpes iestāžu veiktā šādu datu apstrāde kvalitātes kontroles, vadītāju informēšanas un veselības aprūpes vai sociālās aprūpes sistēmas vispārējās uzraudzības nolūkos valsts un vietējā līmenī, kā arī veselības aprūpes vai sociālās aprūpes un pārrobežu veselības aprūpes nepārtrauktības nodrošināšanas nolūkos vai veselības drošības, uzraudzības un brīdināšanas nolūkos, vai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kuriem jāatbilst sabiedrības interešu mērķim, kā arī pētījumiem, ko sabiedrības interesēs veic sabiedrības veselības jomā. …

(54. apsvērums) Īpašu kategoriju personas datu apstrāde var būt nepieciešama sabiedrības interešu vārdā sabiedrības veselības jomā bez datu subjekta piekrišanas. … Šāda veselības datu apstrāde sabiedrības interešu vārdā nedrīkst novest pie tā, ka trešās personas, piemēram, darba devēji vai apdrošināšanas sabiedrības un bankas, apstrādā personas datus citiem mērķiem.

(56. apsvērums) Ja saistībā ar vēlēšanām demokrātiskās sistēmas darbībai dalībvalstī ir nepieciešams, lai politiskās partijas vāktu personas datus, kas attiecas uz personu politiskajiem uzskatiem, šādu datu apstrādi var atļaut, pamatojoties uz sabiedrības interesēm, ar nosacījumu, ka tiek nodrošināti atbilstoši drošības pasākumi.

(57. apsvērums) Ja apstrādātie personas dati neļauj identificēt fizisku personu, pārzinim nevajadzētu būt pienākumam iegūt papildu informāciju datu subjekta identificēšanai tikai šīs regulas noteikuma ievērošanas nolūkā. Tomēr pārzinim nevajadzētu atteikt datu subjekta sniegto papildu informāciju, lai atvieglotu viņa tiesību īstenošanu. Identifikācijai būtu jāietver datu subjekta digitāla identifikācija, piemēram, izmantojot autentifikācijas mehānismu, piemēram, tos pašus pieteikšanās datus, ko datu subjekts izmanto, lai pieteiktos pārziņa piedāvātajā tiešsaistes pakalpojumā.

(58. apsvērums) Pārredzamības princips nosaka, ka jebkurai informācijai, kas adresēta sabiedrībai vai datu subjektam, jābūt kodolīgai, viegli pieejamai un viegli saprotamai, kā arī formulētai skaidrā un vienkāršā valodā un, ja nepieciešams, ilustrētai ar vizuāliem elementiem. Šādu informāciju varētu sniegt elektroniskā formātā, piemēram, tīmekļa vietnē, ja tā ir adresēta sabiedrībai. … Tā kā bērniem ir nepieciešama īpaša aizsardzība, visai informācijai un saziņai, ja apstrāde attiecas uz viņiem, jābūt formulētai skaidrā un vienkāršā valodā, lai bērns to varētu viegli saprast.

(59. apsvērums) Būtu jāparedz kārtība, kas atvieglotu datu subjekta tiesību īstenošanu saskaņā ar šo regulu, tostarp līdzekļi, lai pieprasītu un attiecīgā gadījumā bez maksas saņemtu jo īpaši piekļuvi personas datiem, to labošanu vai dzēšanu, kā arī īstenotu tiesības iebilst. Pārzinim būtu jānodrošina arī līdzekļi pieprasījumu iesniegšanai elektroniski, jo īpaši, ja personas dati tiek apstrādāti elektroniski. Pārzinim būtu jāatbild uz datu subjekta pieprasījumiem bez nepamatotas kavēšanās un ne vēlāk kā viena mēneša laikā, un jāsniedz iemesli savai atbildei, ja tas neplāno izpildīt šādus pieprasījumus.

(60. apsvērums) Godīgas un pārredzamas apstrādes princips paredz, ka datu subjekts ir jāinformē par apstrādes darbības esamību un tās mērķiem. Pārzinim ir jāsniedz datu subjektam jebkura cita informācija, kas nepieciešama, lai nodrošinātu godprātīgu un pārredzamu apstrādi, ņemot vērā konkrētos apstākļus un kontekstu, kurā personas dati tiek apstrādāti. Turklāt datu subjekts ir jāinformē par profilēšanas esamību un tās sekām. Ja personas dati tiek vākti no datu subjekta, ir svarīgi, lai datu subjekts arī zinātu, vai viņam vai viņai ir pienākums sniegt personas datus, un kādas ir sekas, ja tie netiek sniegti. …

(61. apsvērums) Informācija par datu subjekta personas datu apstrādi būtu jāsniedz datu subjektam brīdī, kad no viņa vai viņas tiek iegūti personas dati, vai, ja personas dati tiek iegūti no cita avota, saprātīgā termiņā atkarībā no katra gadījuma apstākļiem. Ja personas datus var likumīgi izpaust citam saņēmējam, datu subjekts būtu jāinformē par laiku, kad personas dati pirmo reizi tiek izpausti šim saņēmējam. …

(62. apsvērums) Tomēr nav nepieciešams noteikt pienākumu sniegt informāciju, ja datu subjektam šī informācija jau ir, ja personas datu reģistrēšana vai izpaušana ir skaidri paredzēta likumā vai ja informācijas sniegšana datu subjektam izrādās neiespējama vai prasītu nesamērīgas pūles. …

(63. apsvērums) Datu subjektam vajadzētu būt tiesībām piekļūt par viņu savāktajiem personas datiem un īstenot šīs tiesības viegli un saprātīgos laika intervālos, lai būtu informēts par apstrādi un pārbaudītu tās likumību. Tas ietver datu subjekta tiesības piekļūt datiem par savu veselību, piemēram, datiem no medicīniskajiem ierakstiem, kas satur tādu informāciju kā diagnozes, izmeklējumu rezultāti, ārstējošo ārstu atzinumi un jebkura veikta ārstēšana vai iejaukšanās. Attiecīgi ikvienam datu subjektam vajadzētu būt tiesībām zināt un tikt informētam jo īpaši par personas datu apstrādes mērķiem, ja iespējams, šo personas datu apstrādes ilgumu, šo personas datu saņēmēju identitāti, automatizētā apstrādē iesaistīto loģiku un iespējamām šādas apstrādes sekām, vismaz profilēšanas gadījumā. …

(64. apsvērums) Pārzinim jāveic visi saprātīgie pasākumi, lai pārbaudītu datu subjekta, kurš pieprasa piekļuvi datiem, identitāti, jo īpaši tiešsaistes pakalpojumu un identifikatoru kontekstā. Pārzinim nevajadzētu saglabāt personas datus tikai tāpēc, lai varētu atbildēt uz iespējamiem pieprasījumiem.

(65. apsvērums) Datu subjektiem vajadzētu būt tiesībām pieprasīt savu personas datu labošanu, kā arī tiesībām uz "tiesībām tikt aizmirstam", ja šo datu saglabāšana pārkāpj šo regulu vai Savienības vai dalībvalsts tiesību aktus, kuriem pakļauts pārzinis. Jo īpaši datu subjektiem vajadzētu būt tiesībām pieprasīt, lai viņu personas dati tiktu dzēsti un vairs neapstrādāti, ja šādi personas dati vairs nav nepieciešami saistībā ar mērķiem, kuriem tie tika vākti vai citādi apstrādāti, ja datu subjekti ir atsaukuši savu piekrišanu apstrādei vai iebilst pret savu personas datu apstrādi, vai ja viņu personas datu apstrāde citādi neatbilst šai regulai. Šīs tiesības ir jo īpaši svarīgas, ja datu subjekts ir devis piekrišanu, kad bija bērns, un nebija pilnībā informēts par ar apstrādi saistītajiem riskiem, un pēc tam vēlas, lai šie personas dati tiktu dzēsti, jo īpaši internetā. …

(66. apsvērums) Lai stiprinātu digitālās “tiesības tikt aizmirstam”, tiesības uz dzēšanu būtu jāpaplašina, lai pārzinim, kurš ir publiskojis personas datus, būtu jāinformē pārziņi, kas apstrādā šos personas datus, ka visas saites uz šiem datiem vai to kopijas vai reprodukcijas ir jādzēš. …

(67. apsvērums) Personas datu apstrādes ierobežošanas metodes cita starpā varētu ietvert atlasītu datu īslaicīgu pārvietošanu uz citu apstrādes sistēmu, atlasītu personas datu padarīšanu nepieejamu lietotājiem vai publicētu datu īslaicīgu noņemšanu no tīmekļa vietnes. Automatizētās kartotēkās apstrādes ierobežošana principā būtu jānodrošina ar tehniskiem līdzekļiem tā, lai personas dati netiktu pakļauti turpmākām apstrādes darbībām un tos nevarētu mainīt. Fakts, ka personas datu apstrāde ir ierobežota, būtu skaidri jānorāda kartotēkā.

(68. apsvērums) Lai vēl vairāk stiprinātu datu subjektu kontroli pār saviem datiem, viņiem vajadzētu būt arī tiesībām, ja personas dati tiek apstrādāti automatizētā veidā, saņemt savus personas datus, ko viņi ir snieguši pārzinim, strukturētā, plaši izmantotā, mašīnlasāmā un sadarbspējīgā formātā un nosūtīt šos datus citam pārzinim. Pārziņi būtu jāmudina izstrādāt sadarbspējīgus formātus, kas nodrošina datu pārnesamību. …

(69. apsvērums) Ja personas datus varētu likumīgi apstrādāt, jo apstrāde ir nepieciešama, lai veiktu uzdevumu sabiedrības interesēs vai īstenojot pārzinim piešķirtās oficiālās pilnvaras, vai pārziņa vai trešās personas likumīgo interešu dēļ, datu subjektiem tomēr vajadzētu būt tiesībām iebilst pret jebkuru personas datu apstrādi, kas attiecas uz viņu konkrēto situāciju. Pienākums pierādīt, ka tā pārliecinošās likumīgās intereses ir svarīgākas par datu subjekta interesēm vai pamattiesībām un brīvībām, būtu jāuzņemas pārzinim.

(70. apsvērums) Ja personas dati tiek apstrādāti tiešā mārketinga nolūkos, datu subjektam vajadzētu būt tiesībām jebkurā laikā un bez maksas iebilst pret šādu apstrādi, tostarp profilēšanu, ciktāl tā ir saistīta ar šādu tiešo mārketingu, neatkarīgi no tā, vai tā ir sākotnējā apstrāde vai turpmāka apstrāde. …

(71. apsvērums) Datu subjektam vajadzētu būt tiesībām netikt pakļautam lēmumam, kas var ietvert pasākumu, kas ietver noteiktu ar viņu saistītu personisku aspektu izvērtēšanu, un kas balstās tikai uz automatizētu apstrādi un kas rada juridiskas sekas attiecībā uz viņu vai līdzīgi būtiski ietekmē viņu, piemēram, tiešsaistes kredīta pieteikuma automātiska noraidīšana vai tiešsaistes darbā pieņemšanas prakse bez jebkādas cilvēka iejaukšanās. Šāda veida apstrāde ietver “profilēšanu”, kas sastāv no jebkāda veida automatizētas personas datu apstrādes, lai novērtētu ar fizisku personu saistītus personiskus aspektus, jo īpaši, lai analizētu vai prognozētu aspektus, kas attiecas uz datu subjekta darba sniegumu, ekonomisko situāciju, veselību, personiskajām vēlmēm vai interesēm, uzticamību vai uzvedību, vai atrašanās vietu un pārvietošanos, ja vien tas rada juridiskas sekas attiecībā uz datu subjektu vai līdzīgi būtiski ietekmē viņu. …

(73. apsvērums) Savienības vai dalībvalsts tiesību akti var noteikt ierobežojumus attiecībā uz dažiem konkrētiem principiem, kā arī tiesībām uz informāciju, tiesībām piekļūt personas datiem, tiesībām uz šādu datu labošanu vai dzēšanu, tiesībām uz datu pārnesamību, tiesībām iebilst, lēmumiem, kuru pamatā ir profilēšana, kā arī attiecībā uz datu subjekta informēšanu par personas datu pārkāpumu un dažiem saistītiem pārziņu pienākumiem, …

(74. apsvērums) Ir lietderīgi noteikt pārziņa atbildību par jebkādu personas datu apstrādi, ko veic pārzinis vai tā vārdā. Jo īpaši ir svarīgi, lai pārzinim būtu jāīsteno atbilstoši un efektīvi pasākumi un lai tas spētu pierādīt apstrādes darbību atbilstību šai regulai, tostarp pasākumu efektivitāti. …

(75. apsvērums) Riski fizisko personu tiesībām un brīvībām, kuru iespējamība un nopietnība ir dažāda, var rasties no personas datu apstrādes, kas var radīt fizisku, materiālu vai nemantisku kaitējumu, jo īpaši: ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai krāpšanu, finansiālus zaudējumus, reputācijas kaitējumu, ar dienesta noslēpumu aizsargātu datu konfidencialitātes zudumu, neatļautu pseidonimizācijas procesa atcelšanu vai jebkādu citu būtisku ekonomisku vai sociālu kaitējumu; ja datu subjektiem var tikt atņemtas tiesības un brīvības vai liegts kontrolēt savus personas datus; ja apstrāde attiecas uz personas datiem, kas atklāj rases vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, kā arī ģenētiskos datus, datus par veselību vai datus par seksuālo dzīvi vai datus par notiesājošiem spriedumiem un pārkāpumiem vai saistītiem drošības pasākumiem; ja tiek izvērtēti personiski aspekti, jo īpaši analizējot vai prognozējot elementus, kas attiecas uz darba sniegumu, ekonomisko situāciju, veselību, personiskajām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, lai izveidotu vai izmantotu individuālus profilus; ja apstrāde attiecas uz personas datiem, kas attiecas uz neaizsargātām fiziskām personām, jo īpaši bērniem; vai ja apstrāde attiecas uz lielu personas datu apjomu un ietekmē lielu skaitu datu subjektu.

(76. apsvērums) Datu subjekta tiesību un brīvību apdraudējuma iespējamība un nopietnība jānosaka, ņemot vērā apstrādes raksturu, apmēru, kontekstu un mērķus. …

(78. apsvērums) Fizisko personu tiesību un brīvību aizsardzība attiecībā uz personas datu apstrādi prasa atbilstošu tehnisku un organizatorisku pasākumu pieņemšanu, lai nodrošinātu šīs regulas prasību ievērošanu. Lai spētu pierādīt atbilstību šai regulai, pārzinim būtu jāpieņem iekšējie noteikumi un jāīsteno pasākumi, kas jo īpaši ievēro integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principus. Šādi pasākumi varētu ietvert, cita starpā, personas datu apstrādes samazināšanu līdz minimumam, personas datu pseidonimizāciju, ja iespējams, pārredzamības nodrošināšanu attiecībā uz personas datu funkcijām un apstrādi, datu subjekta iespēju kontrolēt datu apstrādi, iespēju pārzinim ieviest vai uzlabot drošības elementus. Izstrādājot, projektējot, izvēloties un izmantojot lietojumprogrammas, pakalpojumus un produktus, kas savu funkciju veikšanai ir atkarīgi no personas datu apstrādes vai apstrādā personas datus, produktu ražotāji, pakalpojumu sniedzēji un lietojumprogrammu ražotāji būtu jāmudina ņemt vērā tiesības uz datu aizsardzību, izstrādājot un projektējot šādus produktus, pakalpojumus un lietojumprogrammas, un, pienācīgi ņemot vērā jaunākās tehnoloģijas, nodrošināt, ka pārziņi un apstrādātāji spēj izpildīt savus datu aizsardzības pienākumus. Publiskajā iepirkumā būtu jāņem vērā arī integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principi.

(79. apsvērums) Datu subjektu tiesību un brīvību aizsardzība, kā arī pārziņu un apstrādātāju atbildība, tostarp uzraudzības iestāžu uzraudzības un to veikto pasākumu kontekstā, prasa skaidru atbildības sadalījumu saskaņā ar šo regulu, …

(80. apsvērums) Ja pārzinis vai apstrādātājs, kas neatrodas Savienībā, apstrādā datu subjektu personas datus, kuri atrodas Savienībā, un tā apstrādes darbības ir saistītas ar preču vai pakalpojumu piedāvāšanu šiem datu subjektiem Savienībā neatkarīgi no tā, vai ir nepieciešama samaksa, vai ar viņu uzvedības novērošanu, ciktāl tā notiek Savienībā, pārzinim vai apstrādātājam būtu jāieceļ pārstāvis, ja vien apstrāde nav neregulāra, neietver īpašu kategoriju personas datu apstrādi plašā mērogā vai tādu personas datu apstrādi, kas attiecas uz notiesājošiem spriedumiem un pārkāpumiem, un ja, ņemot vērā apstrādes raksturu, kontekstu, apmēru un mērķus, maz ticams, ka tā radīs risku fizisko personu tiesībām un brīvībām, vai ja pārzinis ir publiska iestāde vai struktūra. Pārstāvim būtu jārīkojas pārziņa vai apstrādātāja vārdā, un ar viņu var sazināties jebkura uzraudzības iestāde. Pārstāvim būtu jābūt nepārprotami ieceltam ar pārziņa vai apstrādātāja rakstisku pilnvaru rīkoties tā vārdā saistībā ar tā pienākumiem saskaņā ar šo regulu. Minētā pārstāvja iecelšana neskar pārziņa vai apstrādātāja pienākumus saskaņā ar šo regulu. …

(81. apsvērums) Lai nodrošinātu, ka apstrādātāja veiktā apstrāde pārziņa vārdā tiek izpildītas šīs regulas prasības, ja pēdējais uztic apstrādes darbības apstrādātājam, pārzinim jāizmanto tikai tādi apstrādātāji, kas sniedz pietiekamas garantijas, jo īpaši attiecībā uz speciālajām zināšanām, uzticamību un resursiem, tehnisko un organizatorisko pasākumu īstenošanai, kas atbildīs šīs regulas prasībām, tostarp apstrādes drošībai. …

(82. apsvērums) Lai pierādītu atbilstību šai regulai, pārzinim vai apstrādātājam būtu jāglabā ieraksti par apstrādes darbībām, kas ir tā atbildībā. …

(83. apsvērums) Lai nodrošinātu drošību un novērstu apstrādi, kas pārkāpj šo regulu, ir svarīgi, lai pārzinis vai apstrādātājs novērtētu ar apstrādi saistītos riskus un īstenotu pasākumus to mazināšanai, piemēram, šifrēšanu. Šiem pasākumiem būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, ņemot vērā jaunākās tehnoloģijas un ieviešanas izmaksas attiecībā pret riskiem un aizsargājamo personas datu raksturu. …

(84. apsvērums) Lai labāk nodrošinātu atbilstību šai regulai gadījumos, kad apstrādes darbības var radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinim vajadzētu būt atbildīgam par datu aizsardzības ietekmes novērtējuma veikšanu, lai jo īpaši novērtētu minētā riska izcelsmi, raksturu, specifiku un nopietnību. Minētā novērtējuma rezultāts būtu jāņem vērā, nosakot atbilstošus pasākumus, lai pierādītu, ka personas datu apstrāde atbilst šai regulai. Ja datu aizsardzības ietekmes novērtējums liecina, ka datu apstrādes darbības rada augstu risku, ko pārzinis nevar mazināt, veicot atbilstošus pasākumus, ņemot vērā pieejamās metodes un ar to ieviešanu saistītās izmaksas, pirms apstrādes būtu jāapspriežas ar uzraudzības iestādi.

(85. apsvērums) Personas datu pārkāpums, ja netiek veiktas savlaicīgas un atbilstošas darbības, var radīt attiecīgajām fiziskajām personām fizisku, materiālu vai morālu kaitējumu, piemēram, kontroles zaudēšanu pār saviem personas datiem vai tiesību ierobežošanu, diskrimināciju, identitātes zādzību vai krāpšanu, finansiālus zaudējumus, neatļautu pseidonimizācijas procedūras atcelšanu, reputācijas kaitējumu, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zudumu vai citus būtiskus ekonomiskus vai sociālus zaudējumus. Attiecīgi, tiklīdz pārzinis uzzina par personas datu pārkāpumu, tam bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā pēc tam, kad par to uzzinājis, ir jāpaziņo uzraudzības iestādei, ja vien tas saskaņā ar pārskatatbildības principu nevar pierādīt, ka attiecīgais pārkāpums, visticamāk, neradīs risku fizisko personu tiesībām un brīvībām. Ja šādu paziņojumu nevar sniegt 72 stundu laikā, paziņojumam jāpievieno kavēšanās iemesli, un informāciju var sniegt pakāpeniski bez turpmākas nepamatotas kavēšanās.

(86. apsvērums) Pārzinim bez nepamatotas kavēšanās jāpaziņo datu subjektam par personas datu pārkāpumu, ja pārkāpums varētu radīt augstu risku fiziskās personas tiesībām un brīvībām, lai datu subjekts varētu veikt atbilstošus piesardzības pasākumus. …

(87. apsvērums) Jāpārbauda, vai ir ieviesti visi atbilstošie tehniskie un organizatoriskie drošības pasākumi, lai nekavējoties konstatētu, vai ir noticis personas datu pārkāpums, un nekavējoties informētu uzraudzības iestādi un datu subjektu. …

(91. apsvērums) Tas jo īpaši būtu jāattiecina uz liela mēroga apstrādes darbībām, kuru mērķis ir apstrādāt ievērojamu personas datu apjomu reģionālā, valsts vai pārvalstiskā līmenī, kas var ietekmēt ievērojamu skaitu datu subjektu un kas, iespējams, rada augstu risku, piemēram, to sensitivitātes dēļ, ja saskaņā ar jaunākajām tehnoloģijām plašā mērogā tiek piemērota jauna metode, kā arī uz citām apstrādes darbībām, kas rada augstu risku datu subjektu tiesībām un brīvībām, jo īpaši, ja šādu darbību rezultātā datu subjektiem ir grūtāk īstenot savas tiesības. Datu aizsardzības ietekmes novērtējums būtu jāveic arī tad, ja personas dati tiek apstrādāti, lai pieņemtu lēmumus attiecībā uz konkrētām fiziskām personām pēc sistemātiskas un padziļinātas fizisko personu personisko aspektu izvērtēšanas, pamatojoties uz šo datu profilēšanu, vai pēc īpašu kategoriju personas datu, biometrisko datu vai datu par notiesājošiem spriedumiem un pārkāpumiem vai saistītiem drošības pasākumiem apstrādes. …

(92. apsvērums) Ir gadījumi, kad var būt saprātīgi un izmaksu ziņā efektīvi paplašināt datu aizsardzības ietekmes novērtējuma tvērumu, aptverot ne tikai vienu projektu, piemēram, ja publiskās iestādes vai publiskās struktūras plāno ieviest kopīgu lietojumprogrammu vai apstrādes platformu vai ja vairāki pārziņi plāno izveidot kopīgu lietojumprogrammu vai apstrādes vidi visā nozarē vai profesionālajā segmentā, vai plaši izmantotai starpfunkcionālai darbībai.

(94. apsvērums) Ja datu aizsardzības ietekmes novērtējums liecina, ka bez aizsardzības pasākumiem, drošības pasākumiem un riska mazināšanas mehānismiem apstrāde radītu augstu risku fizisko personu tiesībām un brīvībām, un pārzinis uzskata, ka risku nevar mazināt ar saprātīgiem līdzekļiem, ņemot vērā pieejamās tehnoloģijas un ieviešanas izmaksas, pirms apstrādes darbību uzsākšanas būtu jāapspriežas ar uzraudzības iestādi. …

(97. apsvērums) Ja apstrādi veic publiska iestāde, izņemot tiesas vai neatkarīgas tiesu iestādes, kas darbojas saskaņā ar savām tiesu spriešanas funkcijām, ja privātajā sektorā to veic pārzinis, kura pamatdarbība ietver apstrādes darbības, kas prasa regulāru un sistemātisku datu subjektu uzraudzību plašā mērogā, vai ja pārziņa vai apstrādātāja pamatdarbība ietver īpašu kategoriju personas datu un datu par notiesājošiem spriedumiem un pārkāpumiem apstrādi plašā mērogā, personai ar speciālām zināšanām datu aizsardzības tiesību aktos un praksē būtu jāpalīdz pārzinim vai apstrādātājam pārbaudīt iekšējo atbilstību šai regulai. …

(98. apsvērums) Apvienības vai citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, būtu jāmudina izstrādāt rīcības kodeksus šīs regulas robežās, lai veicinātu tās pareizu piemērošanu, ņemot vērā konkrētās nozarēs veiktās apstrādes specifiku un mikrouzņēmumu, mazo un vidējo uzņēmumu īpašās vajadzības. …

(101. apsvērums) Personas datu plūsmas uz valstīm ārpus Savienības un no tām, kā arī starptautiskām organizācijām ir nepieciešamas starptautiskās tirdzniecības un starptautiskās sadarbības attīstībai. Šādu plūsmu pieaugums ir radījis jaunus izaicinājumus un bažas saistībā ar personas datu aizsardzību. Tomēr ir svarīgi, lai, nosūtot personas datus no Savienības pārziņiem, apstrādātājiem vai citiem saņēmējiem trešās valstīs vai starptautiskām organizācijām, netiktu apdraudēts šajā regulā garantētais fizisko personu aizsardzības līmenis Savienībā, tostarp personas datu tālākas nosūtīšanas gadījumā no trešās valsts vai starptautiskās organizācijas pārziņiem vai apstrādātājiem tajā pašā vai citā trešā valstī vai citā starptautiskā organizācijā. Jebkurā gadījumā nosūtīšana uz trešajām valstīm un starptautiskām organizācijām drīkst notikt tikai pilnībā ievērojot šo regulu. …

(103. apsvērums) Komisija var pieņemt lēmumu, kas stājas spēkā visā Savienībā, ka trešā valsts, teritorija vai konkrēts sektors trešā valstī vai starptautiska organizācija piedāvā atbilstošu datu aizsardzības līmeni, tādējādi nodrošinot juridisko noteiktību un vienveidību visā Savienībā attiecībā uz trešo valsti vai starptautisko organizāciju, kas tiek uzskatīta par tādu, kas piedāvā šādu aizsardzības līmeni. Šādā gadījumā personas datu nosūtīšana uz minēto trešo valsti vai starptautisko organizāciju var notikt bez nepieciešamības saņemt papildu atļauju. …

(104. apsvērums) Ņemot vērā pamatvērtības, uz kurām balstās Savienība, jo īpaši cilvēktiesību aizsardzību, Komisijai, veicot trešās valsts, teritorijas vai konkrēta sektora trešās valsts novērtēšanu, būtu jāņem vērā veids, kādā konkrētā trešā valsts ievēro tiesiskumu, nodrošina piekļuvi tiesu iestādēm un ievēro starptautiskos noteikumus un standartus cilvēktiesību jomā, kā arī savus vispārējos un nozaru tiesību aktus, tostarp tiesību aktus par sabiedrisko drošību, aizsardzību un valsts drošību, kā arī sabiedrisko kārtību un krimināltiesībām. …

(105. apsvērums) Papildus starptautiskajām saistībām, ko uzņēmusies trešā valsts vai starptautiskā organizācija, Komisijai būtu jāņem vērā pienākumi, kas izriet no trešās valsts vai starptautiskās organizācijas dalības daudzpusējās vai reģionālās sistēmās, jo īpaši attiecībā uz personas datu aizsardzību un šo pienākumu īstenošanu. Jo īpaši būtu jāņem vērā trešās valsts pievienošanās Eiropas Padomes 1981. gada 28. janvāra Konvencijai par personu aizsardzību attiecībā uz personas datu automātisko apstrādi un tās Papildprotokolam. …

(108. apsvērums) Ja nav lēmuma par atbilstību, pārzinim vai apstrādātājam jāveic pasākumi, lai kompensētu datu aizsardzības nepietiekamību trešajā valstī, nodrošinot atbilstošus datu subjekta aizsardzības pasākumus. …

(109. apsvērums) Iespēja pārziņiem un apstrādātājiem izmantot Komisijas vai uzraudzības iestādes pieņemtās standarta datu aizsardzības klauzulas nedrīkstētu liegt tiem iekļaut šīs klauzulas plašākā līgumā, piemēram, līgumā starp apstrādātāju un citu apstrādātāju, vai pievienot citas klauzulas vai papildu aizsardzības pasākumus, ja vien tās tieši vai netieši nav pretrunā ar Komisijas vai uzraudzības iestādes pieņemtajām standarta līguma klauzulām un negatīvi neietekmē datu subjektu pamattiesības un brīvības. …

(110. apsvērums) Uzņēmumu grupai vai uzņēmumu grupai, kas iesaistīta kopīgā saimnieciskā darbībā, vajadzētu būt iespējai izmantot apstiprinātus saistošus uzņēmuma noteikumus starptautiskai datu pārsūtīšanai no Savienības uz struktūrvienībām tajā pašā uzņēmumu grupā vai tajā pašā uzņēmumu grupā, kas iesaistīta kopīgā saimnieciskā darbībā, ar nosacījumu, ka minētie uzņēmuma noteikumi ietver visus būtiskos principus un īstenojamās tiesības, lai nodrošinātu atbilstošus aizsardzības pasākumus personas datu pārsūtīšanai vai pārsūtīšanas kategorijām.

(114. apsvērums) Jebkurā gadījumā, ja Komisija nav paudusi nostāju par datu aizsardzības līmeņa atbilstību trešā valstī, pārzinim vai apstrādātājam būtu jāpieņem risinājumi, kas garantē datu subjektiem īstenojamas un efektīvas tiesības attiecībā uz viņu datu apstrādi Savienībā pēc šo datu nosūtīšanas, lai minētie datu subjekti turpinātu baudīt pamattiesības un garantijas.

(116. apsvērums) Kad personas dati šķērso Savienības ārējās robežas, tas var palielināt risku, ka personas nevarēs īstenot savas datu aizsardzības tiesības, jo īpaši aizsargāties pret šīs informācijas nelikumīgu izmantošanu vai izpaušanu. … Attiecīgi ir jāveicina ciešāka sadarbība starp datu aizsardzības uzraudzības iestādēm, lai palīdzētu tām apmainīties ar informāciju un veikt izmeklēšanas ar saviem starptautiskajiem partneriem. …

(121. apsvērums) Vispārīgie nosacījumi, kas piemērojami uzraudzības iestādes loceklim(-iem), katrā dalībvalstī būtu jānosaka ar likumu, un tajos jo īpaši būtu jāparedz, ka šos locekļus ieceļ attiecīgās dalībvalsts parlaments, valdība vai valsts vadītājs saskaņā ar pārredzamu procedūru pēc valdības vai valdības locekļa, vai parlamenta, vai parlamenta palātas priekšlikuma, vai neatkarīga struktūra, kurai šis uzdevums uzticēts saskaņā ar dalībvalsts tiesību aktiem. …

(122. apsvērums) Katrai uzraudzības iestādei vajadzētu būt kompetentai savas dalībvalsts teritorijā veikt uzdevumus un īstenot pilnvaras, kas tai piešķirtas saskaņā ar šo regulu. …

(124. apsvērums) Ja personas datu apstrāde notiek pārziņa vai apstrādātāja uzņēmējdarbības vietas Savienībā darbību kontekstā un minētais pārzinis vai apstrādātājs atrodas vairāk nekā vienā dalībvalstī, vai ja apstrāde, kas notiek pārziņa vai apstrādātāja vienīgās uzņēmējdarbības vietas Savienībā darbību kontekstā, būtiski ietekmē vai var būtiski ietekmēt datu subjektus vairāk nekā vienā dalībvalstī, uzraudzības iestādei, kuras jurisdikcijā ir pārziņa vai apstrādātāja galvenā vai vienīgā uzņēmējdarbības vieta, būtu jādarbojas kā vadošajai iestādei. …

(125. apsvērums) Vadošajai iestādei vajadzētu būt kompetentai pieņemt saistošus lēmumus par pasākumiem, lai īstenotu pilnvaras, kas tai piešķirtas saskaņā ar šo regulu. Uzraudzības iestādei kā vadošajai iestādei būtu cieši jāiesaista attiecīgās uzraudzības iestādes lēmumu pieņemšanas procesā un jānodrošina cieša koordinācija šajā kontekstā. …

(129. apsvērums) Lai nodrošinātu šīs regulas konsekventu izpildi un uzraudzību visā Savienībā, uzraudzības iestādēm katrā dalībvalstī vajadzētu būt vienādiem uzdevumiem un efektīvām pilnvarām, tostarp izmeklēšanas pilnvarām, pilnvarām pieņemt korektīvus pasākumus un piemērot sankcijas, kā arī pilnvarām atļaut un sniegt konsultatīvus atzinumus, jo īpaši fizisku personu iesniegtu sūdzību gadījumā, un, neskarot kriminālvajāšanas iestāžu pilnvaras saskaņā ar dalībvalsts tiesību aktiem, pilnvarām vērst tiesu iestāžu uzmanību uz šīs regulas pārkāpumiem un veikt tiesvedību. Šīm pilnvarām vajadzētu ietvert arī pilnvaras noteikt pagaidu vai pastāvīgu apstrādes ierobežojumu, tostarp aizliegumu. …

(130. apsvērums) Ja uzraudzības iestāde, kurai iesniegta sūdzība, nav vadošā uzraudzības iestāde, vadošajai uzraudzības iestādei būtu cieši jāsadarbojas ar uzraudzības iestādi, kurai iesniegta sūdzība, saskaņā ar šajā regulā noteiktajiem sadarbības un konsekvences noteikumiem. …

(137. apsvērums) Lai aizsargātu datu subjektu tiesības un brīvības, var būt nepieciešama steidzama rīcība, jo īpaši, ja pastāv risks, ka datu subjekta tiesību īstenošana varētu tikt būtiski kavēta. Attiecīgi uzraudzības iestādei vajadzētu būt iespējai savā teritorijā pieņemt pienācīgi pamatotus pagaidu pasākumus ar noteiktu spēkā esamības laiku, kas nepārsniedz trīs mēnešus.

(138. apsvērums) Šāda mehānisma piemērošanai vajadzētu būt pakļautai tāda pasākuma likumībai, kura mērķis ir radīt juridiskas sekas un ko uzraudzības iestāde veic gadījumos, kad šāda piemērošana ir obligāta. …

(141. apsvērums) Katram datu subjektam vajadzētu būt tiesībām iesniegt sūdzību vienai uzraudzības iestādei, jo īpaši dalībvalstī, kurā atrodas viņa pastāvīgā dzīvesvieta, un tiesībām uz efektīvu tiesisko aizsardzību saskaņā ar Hartas 47. pantu, ja viņš vai viņa uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, vai ja uzraudzības iestāde nereaģē uz viņa vai viņas sūdzību, atsaka vai noraida to pilnībā vai daļēji, vai nerīkojas, kad ir nepieciešama rīcība, lai aizsargātu datu subjekta tiesības. Izmeklēšana pēc sūdzības saņemšanas būtu jāveic tiesas uzraudzībā tādā apmērā, kādā to pieprasa konkrētais gadījums.

(142. apsvērums) Ja datu subjekts uzskata, ka viņa vai viņas tiesības saskaņā ar šo regulu ir pārkāptas, viņam vai viņai vajadzētu būt tiesībām pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kas izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi ir sabiedrības interesēs un kura darbojas personas datu aizsardzības jomā, iesniegt sūdzību viņa vai viņas vārdā uzraudzības iestādē, īstenot tiesības uz tiesisko aizsardzību datu subjektu vārdā vai, ja to paredz dalībvalsts tiesību akti, īstenot tiesības saņemt kompensāciju datu subjektu vārdā. …

(143. apsvērums) Jebkurai fiziskai vai juridiskai personai ir tiesības iesniegt Tiesā prasību par Komitejas lēmumu atcelšanu saskaņā ar Līguma par Eiropas Savienības darbību 263. pantā paredzētajiem nosacījumiem. Pēc šādu lēmumu saņemšanas attiecīgajām uzraudzības iestādēm, kas vēlas tos apstrīdēt, tas jādara divu mēnešu laikā pēc to paziņošanas saskaņā ar Līguma par Eiropas Savienības darbību 263. pantu. …

Ja uzraudzības iestāde ir noraidījusi vai atteikusi izskatīt sūdzību, sūdzības iesniedzējs var celt prasību tās pašas dalībvalsts tiesās. …

(144. apsvērums) Ja tiesai, kurā iesniegta prasība pret uzraudzības iestādes pieņemtu lēmumu, ir pamats uzskatīt, ka prasības attiecībā uz to pašu apstrādi, piemēram, to pašu priekšmetu, ko veic tas pats pārzinis vai apstrādātājs, vai ar to pašu prasības pamatu, tiek celtas kompetentā tiesā citā dalībvalstī, tai būtu jāsazinās ar šo otru tiesu, lai apstiprinātu šādu saistītu prasību esamību. …

(145. apsvērums) Attiecībā uz prasībām pret pārzini vai apstrādātāju pieteikuma iesniedzējam vajadzētu būt iespējai izvēlēties celt prasību to dalībvalstu tiesās, kurās pārzinim vai apstrādātājam ir uzņēmējdarbības vieta, vai tajā dalībvalstī, kurā dzīvo datu subjekts, ja vien pārzinis nav dalībvalsts publiska iestāde, kas rīkojas, īstenojot savas publiskās pilnvaras.

(146. apsvērums) Pārzinim vai apstrādātājam būtu jākompensē jebkāds kaitējums, ko datu subjektam var nodarīt apstrādes rezultātā, kas veikta, pārkāpjot šo regulu. Pārzinis vai apstrādātājs būtu jāatbrīvo no atbildības, ja tas pierāda, ka kaitējums nekādā veidā nav attiecināms uz to. … Tomēr, ja pārziņi un apstrādātāji ir iesaistīti vienā un tajā pašā tiesvedībā, saskaņā ar dalībvalsts tiesību aktiem kompensāciju var sadalīt proporcionāli katra pārziņa vai apstrādātāja atbildības daļai par apstrādes rezultātā nodarīto kaitējumu, ar nosacījumu, ka datu subjektam nodarītais kaitējums tiek pilnībā un efektīvi kompensēts. …

(148. apsvērums) Lai stiprinātu šīs regulas noteikumu izpildi, par jebkuru šīs regulas pārkāpumu papildus vai atbilstošiem pasākumiem, ko uzraudzības iestāde noteikusi saskaņā ar šo regulu, būtu jāpiemēro sankcijas, tostarp administratīvie naudas sodi. Neliela pārkāpuma gadījumā vai ja naudas sods, ko var uzlikt, radītu nesamērīgu slogu fiziskai personai, naudas soda vietā var izdot brīdinājumu. Tomēr pienācīgi jāņem vērā pārkāpuma raksturs, smagums un ilgums, pārkāpuma tīšums un pasākumi, kas veikti, lai mazinātu nodarīto kaitējumu, atbildības pakāpe vai jebkādi iepriekšēji attiecīgi pārkāpumi, tas, kā uzraudzības iestāde uzzināja par pārkāpumu, atbilstība pasākumiem, kas noteikti pret pārzini vai apstrādātāju, rīcības kodeksa piemērošana un jebkādi citi atbildību pastiprinoši vai mīkstinoši apstākļi. Sankciju, tostarp administratīvo naudas sodu, piemērošanai būtu jāpiemēro atbilstošas procesuālās garantijas saskaņā ar Savienības tiesību aktu un Hartas vispārējiem principiem, tostarp tiesībām uz efektīvu tiesisko aizsardzību un pienācīgu tiesu.

(150. apsvērums) Lai stiprinātu un saskaņotu administratīvos sodus, kas piemērojami par šīs regulas pārkāpumiem, katrai uzraudzības iestādei vajadzētu būt pilnvarām piemērot administratīvus naudas sodus. Šajā regulā būtu jādefinē pārkāpumi, to maksimālā summa un kritēriji administratīvo naudas sodu noteikšanai, kas tiem piemērojami, un kurus kompetentajai uzraudzības iestādei katrā atsevišķā gadījumā jānosaka, ņemot vērā visas katras lietas īpašās iezīmes un pienācīgi ņemot vērā jo īpaši pārkāpuma raksturu, smagumu, ilgumu un tā sekas, kā arī pasākumus, kas veikti, lai nodrošinātu no šīs regulas izrietošo pienākumu izpildi un novērstu vai mazinātu pārkāpuma sekas. …

(152. apsvērums) Ja šī regula nesaskaņo administratīvās sankcijas vai, ja tas nepieciešams citos apstākļos, piemēram, šīs regulas nopietnu pārkāpumu gadījumos, dalībvalstīm būtu jāievieš sistēma, kas paredz efektīvas, samērīgas un atturošas sankcijas. Šo sankciju būtība, neatkarīgi no tā, vai tās ir kriminālas vai administratīvas, būtu jānosaka dalībvalstu tiesību aktos.

(153. apsvērums) Dalībvalstu tiesību aktiem būtu jāsaskaņo noteikumi, kas reglamentē vārda un informācijas brīvību, tostarp žurnālistisko, akadēmisko, māksliniecisko vai literāro izpausmi, ar tiesībām uz personas datu aizsardzību saskaņā ar šo regulu. Attiecībā uz personas datu apstrādi tikai žurnālistikas nolūkos vai akadēmiskās, mākslinieciskās vai literārās izpausmes nolūkos būtu jāparedz atkāpes vai atbrīvojumi no dažiem šīs regulas noteikumiem, ja tas ir nepieciešams, lai saskaņotu tiesības uz personas datu aizsardzību ar tiesībām uz vārda un informācijas brīvību, kas noteiktas Hartas 11. pantā. …

(154. apsvērums) Šī regula ļauj, piemērojot to, ņemt vērā principu par publisku piekļuvi oficiāliem dokumentiem. Publiska piekļuve oficiāliem dokumentiem var tikt uzskatīta par sabiedrības interesēs esošu. …

(155. apsvērums) Dalībvalstu tiesību aktos vai koplīgumos, tostarp “uzņēmumu līgumos”, var būt paredzēti īpaši noteikumi par darbinieku personas datu apstrādi darba attiecību kontekstā, tostarp nosacījumi, saskaņā ar kuriem personas datus darba attiecību kontekstā var apstrādāt, pamatojoties uz darbinieka piekrišanu, darbā pieņemšanas, darba līguma izpildes, tostarp likumā vai koplīgumos noteikto pienākumu ievērošanas, darba vadības, plānošanas un organizēšanas, vienlīdzības un daudzveidības darba vietā, darba drošības un veselības aizsardzības nolūkos, kā arī darba tiesību un pabalstu individuālas vai kolektīvas izmantošanas un baudīšanas nolūkos, kā arī darba attiecību izbeigšanas nolūkos.

(162. apsvērums) Ja personas dati tiek apstrādāti statistikas nolūkos, šai apstrādei būtu jāpiemēro šī regula. Savienības vai dalībvalsts tiesību aktiem, ievērojot šīs regulas ierobežojumus, būtu jānosaka statistikas saturs, jādefinē datu piekļuves kontrole un jāparedz īpaši noteikumi personas datu apstrādei statistikas nolūkos, kā arī atbilstoši pasākumi datu subjekta tiesību un brīvību aizsardzībai un statistikas konfidencialitātes saglabāšanai. …

(163. apsvērums) Konfidenciāla informācija, ko Savienības un dalībvalstu statistikas iestādes apkopo oficiālās Eiropas un valstu statistikas sagatavošanas nolūkā, būtu jāaizsargā. …

(164. apsvērums) Attiecībā uz uzraudzības iestāžu pilnvarām iegūt no pārziņa vai apstrādātāja piekļuvi personas datiem un piekļuvi to telpām, dalībvalstis, ievērojot šīs regulas ierobežojumus, var ar likumu pieņemt īpašus noteikumus, lai nodrošinātu dienesta noslēpuma ievērošanas pienākumu vai citus līdzvērtīgus dienesta noslēpuma ievērošanas pienākumus, ciktāl tas ir nepieciešams, lai saskaņotu tiesības uz personas datu aizsardzību un dienesta noslēpuma ievērošanas pienākumu. …

 (166. apsvērums) Lai sasniegtu šīs regulas mērķus, proti, aizsargātu fizisku personu pamattiesības un brīvības, un jo īpaši viņu tiesības uz personas datu aizsardzību, un nodrošinātu šādu datu brīvu apriti Savienībā, Komisijai būtu jādeleģē pilnvaras pieņemt aktus saskaņā ar Līguma par Eiropas Savienības darbību 290. pantu. Jo īpaši deleģētie akti būtu jāpieņem attiecībā uz sertifikācijas mehānismu kritērijiem un prasībām, informāciju, kas jāsniedz standartizētu ikonu veidā, un procedūrām šādu ikonu nodrošināšanai. …

(168. apsvērums) Ņemot vērā attiecīgo aktu vispārējo darbības jomu, pārbaudes procedūra būtu jāizmanto, lai pieņemtu īstenošanas aktus attiecībā uz standarta līguma klauzulām starp pārziņiem un apstrādātājiem, kā arī starp apstrādātājiem; rīcības kodeksiem; tehniskajiem standartiem un sertifikācijas mehānismiem; …

(170. apsvērums) Tā kā šīs regulas mērķi, proti, nodrošināt līdzvērtīgu fizisko personu aizsardzības līmeni un personas datu brīvu apriti visā Savienībā, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, bet rīcības mēroga vai seku dēļ to var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus, …

Atklājiet Viqtor®
lvLV
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lt_LTLT sk_SKSK sl_SISL lvLV