a) sąvokos naudojamos Direktyvoje 95/46/EB nustatytomis reikšmėmis;

b) „ypatingi asmens duomenys“ reiškia minėtosios direktyvos 8 straipsnyje nurodytus duomenis;

c) „priežiūros institucija“ reiškia minėtosios direktyvos 28 straipsnyje nurodytą instituciją;

d) „duomenų eksportuotojas“ reiškia duomenų valdytoją, kuris perduoda asmens duomenis;

e) „duomenų importuotojas“ reiškia duomenų valdytoją, kuris sutinka iš duomenų eksportuotojo gauti asmens duomenis, skirtus toliau tvarkyti atsižvelgiant į šio sprendimo nuostatas.

1.  Tikslų apribojimas: duomenys turi būti tvarkomi ir vėliau naudojami ar toliau perduodami tik šių punktų 1 priedėlyje nurodytais tikslais. Duomenys negali būti laikomi ilgiau, nei to reikia tikslams, kuriais jie perduodami, įgyvendinti.

2.  Duomenų kokybė ir proporcingumas: duomenys turi būti tikslūs, ir, jeigu reikia, turi būti tikslinami. Duomenys turi atitikti tikslus, kuriais jie yra perduodami ir toliau tvarkomi, jie turi būti su šiais tikslais susiję, jų neturi būti nei per daug, nei per mažai.

3.  Skaidrumas: duomenų subjektams turi būti suteikta informacija apie tikslus, kuriais duomenys yra tvarkomi, informacija apie trečiosios šalies duomenų valdytojo tapatybę bei kita informacija, jeigu ji būtina, kad duomenys būtų tvarkomi sąžiningai, nebent duomenų eksportuotojui tokia informacija jau buvo suteikta.

4.  Saugumas ir konfidencialumas: duomenų valdytojas turi imtis techninių ir organizacinių saugumo priemonių, kad apsisaugotų nuo rizikos, susijusios su neteisėtu duomenų gavimu tvarkant duomenis. Asmenys, veikiantys pagal duomenų valdytojo įgaliojimą, tarp jų ir duomenų tvarkytojas, duomenis gali tvarkyti tik gavę duomenų valdytojo nurodymus.

5.  Teisė gauti informaciją, ištaisyti, sunaikinti ir sustabdyti duomenų tvarkymo veiksmus: remiantis Direktyvos 95/46/EB 12 straipsniu, duomenų subjektas turi turėti teisę gauti informaciją apie visus su juo susijusius tvarkomus duomenis, o prireikus — teisę juos ištaisyti, sunaikinti ar sustabdyti duomenų tvarkymo veiksmus, jeigu duomenys tvarkomi nesilaikant šiame priedėlyje nustatytų principų, ypač jeigu duomenys yra neišsamūs ar netikslūs. Duomenų subjektui taip pat turi būti suteikta galimybė, nurodžius teisėtą pagrindą, atsižvelgus į savo konkrečią padėtį, prieštarauti, kad su juo susiję duomenys būtų tvarkomi.

6.  Tolesnio duomenų perdavimo apribojimai: duomenų importuotojas gali toliau perduoti asmens duomenis kitam trečiojoje šalyje įsteigtam duomenų valdytojui, kuris neužtikrina reikiamos apsaugos arba kuris nėra nurodytas Komisijos sprendime, priimtame atsižvelgus į Direktyvos 95/46/EB 25 straipsnio 6 dalį (tolesnis duomenų perdavimas), tik vienu iš šių atvejų, jeigu:

a) duomenų subjektai yra davę aiškų sutikimą toliau perduoti ypatingus savo duomenis arba jeigu jiems buvo suteikta galimybė pareikšti prieštaravimą.

— tolesnio duomenų perdavimo tikslai,

— duomenys apie Bendrijoje įsisteigusį duomenų eksportuotoją,

— tolesnių duomenų gavėjų kategorijos ir šalys gavėjos ir

— paaiškinimas, kad toliau perduotus duomenis gali tvarkyti duomenų valdytojas, įsisteigęs šalyje, kuri neužtikrina reikiamos asmens privatumo apsaugos; arba

b) duomenų eksportuotojas ir importuotojas sutinka laikytis kito duomenų valdytojo punktų, o šis duomenų valdytojas tampa šių punktų šalimi ir prisiima tuos pačius įsipareigojimus kaip ir duomenų importuotojas.

7.  Ypatingi asmens duomenys: tvarkant duomenis, kurie atskleidžia rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus arba narystę profesinėse sąjungose, taip pat tvarkant duomenis apie asmens sveikatą ar lytinį gyvenimą, duomenis, susijusius su nusikalstamomis veikomis, teistumu ar saugumo priemonėmis, remiantis Direktyva 95/46/EB, turi būti užtikrintos papildomos apsaugos priemonės, ypač reikiamos saugumo priemonės, tokios kaip sudėtingas duomenų užšifravimas prieš juos perduodant arba asmenų, gaunančių ypatingus asmens duomenis, registravimas.

8.  Tiesioginė rinkodara: jeigu duomenys tvarkomi tiesioginės rinkodaros tikslais, turi būti užtikrintos veiksmingos procedūros, įgalinančios duomenų subjektą bet kuriuo metu pareikalauti, kad jo duomenys šiais tikslais nebūtų naudojami.

9.  Atskiri automatiniai sprendimai: duomenų subjektai turi teisę nevykdyti sprendimų, kurie pagrįsti tik duomenų tvarkymu automatiniu būdu, nebent jeigu, atsižvelgus į Direktyvos 95/46/EB 15 straipsnio 2 dalį, būtų imtasi kitų priemonių asmens teisėtiems interesams apsaugoti. Jeigu duomenys perduodami siekiant priimti Direktyvos 95/46/EB 15 straipsnyje nurodytą automatinį sprendimą, dėl kurio toks asmuo patiria teisinių pasekmių, arba kuris iš esmės daro jam įtaką ir yra pagrįstas tik automatiniu duomenų tvarkymu, kuriuo siekiama įvertinti tam tikras su tokiu asmeniu susijusias asmenines savybes: darbingumą, kreditingumą, patikimumą, elgesį ir pan., asmuo turėtų teisę žinoti tokio sprendimo motyvus.

1.  Tikslų apribojimas: duomenys turi būti tvarkomi ir vėliau naudojami ar toliau perduodami tik šių punktų 1 priedėlyje nurodytais tikslais. Duomenys negali būti laikomi ilgiau, nei to reikia tikslams, kuriais jie perduodami, įgyvendinti.

2.  Teisė gauti informaciją, ištaisyti, sunaikinti ir sustabdyti duomenų tvarkymo veiksmus: vadovaujantis Direktyvos 95/46/EB 12 straipsniu, duomenų subjektas turi turėti teisę gauti informaciją apie visus su juo susijusius tvarkomus duomenis, o prireikus — teisę juos ištaisyti, sunaikinti ar sustabdyti duomenų tvarkymo veiksmus, jeigu duomenys tvarkomi nesilaikant šiame priedėlyje nustatytų principų, ypač jeigu duomenys yra neišsamūs ar netikslūs. Duomenų subjektui taip pat turi būti suteikta galimybė, nurodžius teisėtą pagrindą, atsižvelgus į savo konkrečią padėtį, prieštarauti, kad su juo susiję duomenys būtų tvarkomi.

3.  Tolesnio duomenų perdavimo apribojimai: duomenų importuotojas gali toliau perduoti asmens duomenis kitam trečiojoje šalyje įsisteigusiam duomenų valdytojui, kuris neužtikrina reikiamos apsaugos arba kuris nėra nurodytas Komisijos sprendime, priimtame atsižvelgus į Direktyvos 95/46/EB 25 straipsnio 6 dalį (tolesnis duomenų perdavimas), tik vienu iš šių atvejų, jeigu:

a) duomenų subjektai yra davę aiškų sutikimą toliau perduoti ypatingus savo duomenis arba jeigu jiems buvo suteikta galimybė pareikšti prieštaravimą.

— tolesnio duomenų perdavimo tikslai,

— duomenys apie Bendrijoje įsisteigusį duomenų eksportuotoją,

— tolesnių duomenų gavėjų kategorijos ir šalys gavėjos ir

— paaiškinimas, kad toliau perduotus duomenis gali tvarkyti duomenų valdytojas, įsisteigęs šalyje, kuri neužtikrina reikiamos asmens privatumo apsaugos; arba

b) duomenų eksportuotojas ir importuotojas sutinka laikytis kito duomenų valdytojo punktų, o šis duomenų valdytojas tampa šių punktų šalimi ir prisiima tuos pačius įsipareigojimus kaip ir duomenų importuotojas.

a) „asmens duomenys“, „ypatingi asmens duomenys“, „tvarkyti duomenis (duomenų tvarkymas)“, „valdytojas“, „tvarkytojas“, „duomenų subjektas“ ir „priežiūros institucija (institucija)“ turi 1995 m. spalio 24 d. Direktyvoje 95/46/EB įtvirtintas reikšmes („institucija“ – kompetentinga duomenų apsaugos institucija, veikianti toje teritorijoje, kurioje yra įsisteigęs duomenų eksportuotojas);

b) „duomenų eksportuotojas“ – asmens duomenis perduodantis duomenų valdytojas;

c) „duomenų importuotojas“ – duomenų valdytojas, sutinkantis iš duomenų eksportuotojo gauti asmens duomenis ir juos toliau tvarkyti atsižvelgdamas į šių punktų sąlygas ir nepriklausantis trečiosios šalies sistemai, užtikrinančiai reikiamą apsaugą;

d) „punktai“ – šie sutarčių punktai, kurie yra neprivalomas dokumentas, kuriame neįtrauktos komercinės verslo sąlygos, kurias Šalys nustato atskirais susitarimais.

a) asmens duomenys būtų surenkami, tvarkomi ir perduodami laikantis duomenų eksportuotojo šalies įstatymų;

b) jis dėjo visas pastangas, kad įsitikintų, jog duomenų importuotojas gali įvykdyti savo teisinius įsipareigojimus pagal šiuos punktus;

c) jis duomenų importuotojui pateiks, jei šis to pageidautų, tos šalies, kurioje įsisteigęs duomenų eksportuotojas, atitinkamų duomenų apsaugos įstatymų ar nuorodų į juos kopijas (jei reikia, bet išskyrus teisinius patarimus);

d) jis atsakys į duomenų subjektų ir institucijos užklausas dėl asmens duomenų, kuriuos tvarko duomenų importuotojas, jei Šalys nesusitarė, kad duomenų importuotojas taip pat turi į jas atsakyti, bet jei duomenų importuotojas nenori arba negali atsakyti, kiek pagrįstai įmanoma į jas atsako ir duomenų eksportuotojas ir pateikia pagrįstai turimą informaciją. Atsakymai pateikiami per pagrįstą laikotarpį;

e) paprašius duomenų subjektams, kurie yra trečioji šalis, naudos iš sutarties gavėja, jis pateiks punktų kopiją, kaip nurodyta III punkte, jei punktuose pateikiama slapta informacija, jis gali tokią informaciją pašalinti. Jei informacija pašalinama, duomenų eksportuotojas praneša duomenų subjektams raštu apie pašalinimo priežastį ir apie jų teisę į pašalinimą atkreipti institucijos dėmesį. Tačiau duomenų eksportuotojas paklūsta institucijos sprendimui dėl duomenų subjektų prieigos prie viso punktų teksto, jei duomenų subjektai sutiko laikytis konfidencialumo principo ir nepažeisti pašalintos informacijos konfidencialumo. Institucijai paprašius duomenų eksportuotojas jai taip pat pateikia punktų kopiją.

a) jis turės reikiamas technines ir organizacines priemones, reikalingas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo arba atsitiktinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ir kurios suteikia tinkamą apsaugos nuo duomenų tvarkymo ir duomenų pobūdžio keliamo pavojaus lygį;

b) nustatys tvarką, kurios laikydamasi bet kuri trečioji šalis, kuriai jis suteikia leidimą prieigai prie asmens duomenų, įskaitant tvarkytojus, nepažeis ir išlaikys asmens duomenų konfidencialumą ir saugumą. Bet kuris asmuo, vykdantis duomenų importuotojo įgaliojimą, įskaitant duomenų tvarkytoją, asmens duomenis privalės tvarkyti tik pagal duomenų importuotojo nurodymus. Ši nuostata netaikoma įgaliotiems asmenims arba asmenims, kuriems pagal įstatymą ar reglamentą suteikiama teisė į prieigą prie asmens duomenų;

c) naudojimosi punktais metu jis neturi pagrindo manyti, kad vietinių įstatymų buvimas galėtų iš esmės pakenkti punktuose nurodytoms garantijoms, ir jis praneš duomenų eksportuotojui (kuris, jei reikia, tokį pranešimą perduos institucijai), jei sužinos apie tokių įstatymų buvimą;

d) jis tvarko duomenis B priede nurodytais tikslais ir turi teisėtą įgaliojimą išduoti garantijas ir vykdyti šiuose punktuose nustatytus įsipareigojimus;

e) jis duomenų eksportuotojui nurodo savo organizacijos kontaktinį punktą, kuris įgaliotas atsakyti į užklausas dėl asmens duomenų tvarkymo, ir sąžiningai bendradarbiaus su duomenų eksportuotoju, duomenų subjektu ir institucija su tokiomis užklausomis susijusiais klausimais per pagrįstą laikotarpį. Jei sustabdoma duomenų eksportuotojo veikla arba jei Šalys taip susitaria, duomenų importuotojas prisiima atsakomybę už I punkto e dalies nuostatų vykdymą;

f) duomenų eksportuotojui paprašius, jis duomenų eksportuotojui pateiks įrodymų dėl pakankamų finansinių išteklių, reikalingų įsipareigojimų vykdymui pagal III punktą (prie kurių gali būti priskirtas draudimo išlaidų apmokėjimas);

g) prieš tai per pagrįstą laikotarpį įspėjus ir įprastinių darbo valandų metu duomenų eksportuotojui pagrįstai paprašius jis pateikia savo duomenų tvarkymo priemones, duomenų bylas ir tvarkymui reikalingą dokumentaciją, kad duomenų eksportuotojas (arba nepriklausomi ar nešališki inspektoriai ar auditoriai, kuriuos pasirinko duomenų eksportuotojas ir jų kandidatūroms nepagrįstai neprieštaravo duomenų importuotojas, galėtų jas peržiūrėti, atlikti auditą ir (arba) patvirtinti siekiant užtikrinti, kad jos atitinka šiuose punktuose pateiktas garantijas ir įsipareigojimus. Prašymui turi būti suteiktas būtinas duomenų importuotojo šalies kontrolės arba priežiūros institucijos sutikimas ar patvirtinimas, tokį sutikimą ar patvirtinimą duomenų importuotojas stengsis gauti laiku;

h) jis tvarko pasirinktus asmens duomenis pagal:

i) šalies, kurioje įsisteigęs duomenų eksportuotojas, duomenų apsaugos įstatymus;

ii) atitinkamas bet kurio Komisijos sprendimo nuostatas ( 1 ), kaip nurodyta Direktyvos 95/46/EB 25 straipsnio 6 dalyje, jei duomenų importuotojas atitinka reikiamas tokio įgaliojimo ar sprendimo nuostatas ir yra įsisteigęs toje šalyje, kuriai taikomas toks įgaliojimas ar sprendimas, bet jam nėra taikomas toks įgaliojimas ar leidimas asmens duomenims ( 2 ) perduoti;

iii) duomenų tvarkymo principus, nurodytus A priede.

i) Jis neatskleidžia ir neperduoda asmens duomenų trečiosios šalies valdytojui, kuris įsisteigęs ne Europos ekonominėje erdvėje (EEE) nepranešęs duomenų eksportuotojui apie tokį perdavimą ir:

i) trečiosios šalies duomenų valdytojas tvarko asmens duomenis pagal Komisijos sprendimą, jei trečioji šalis užtikrina tinkamą apsaugą, arba

ii) trečiosios šalies duomenų valdytojas pasirašo šiuos punktus ar kitą duomenų perdavimo susitarimą, patvirtintą ES kompetentingos institucijos, arba

iii) duomenų subjektams buvo suteikta galimybe prieštarauti, kai jiems pranešama apie duomenų perdavimo tikslus, gavėjų kategorijas ir apie tai, kad šalyse, į kurias eksportuojami duomenys, gali galioti skirtingi duomenų apsaugos standartai, arba

iv) tolesnių ypatingų duomenų perdavimu atžvilgiu duomenų subjektai nedviprasmiškai sutiko, kad duomenys būtų ir toliau perduodami.

a) Kiekviena Šalis yra atsakinga kitai Šaliai už pažeidžiant šiuos punktus padarytą žalą. Šalių atsakomybė apsiriboja padarytais nuostoliais. Baudžiamasis žalos atlyginimas (t. y. žalos atlyginimas, kuria siekiama nubausti Šalį už jos netinkamą elgesį) negali būti taikomi. Kiekviena Šalis yra atsakinga duomenų subjektams už pažeidžiant trečiosios Šalies teises pagal šiuos punktus padarytą žalą. Tai neturi poveikio duomenų eksportuotojo atsakomybei pagal duomenų apsaugos įstatymą.

b) Šalys susitaria, kad duomenų subjektas kaip trečioji šalis, naudos iš sutarties gavėja, turi teisę vykdyti šį punktą ir I punkto b dalį, I punkto d dalį, I punkto e dalį, II punkto a dalį, II punkto d dalį, II punkto h dalį, II punkto i dalį, III punkto a dalį, V punktą, VI punkto d dalį ir VII punktą duomenų importuotojo ar duomenų eksportuotojo atžvilgiu, jei šie atitinkamai pažeidžia sutarties įsipareigojimus, susijusius su asmens duomenimis, ir šiuo tikslu priimti duomenų eksportuotojo šalies jurisdikciją. Jei įtariama, kad duomenų importuotojas pažeidė sutartį, duomenų subjektas visų pirma privalo paprašyti duomenų eksportuotojo imtis atitinkamų veiksmų siekiant realizuoti jo teises duomenų importuotojo atžvilgiu; jei duomenų eksportuotojas nesiima tokių veiksmų per pagrįstą laikotarpį (kuris įprastomis aplinkybėmis būtų vienas mėnuo), duomenų subjektas gali tiesiogiai realizuoti savo teises duomenų importuotojo atžvilgiu. Duomenų subjektas turi teisę tiesiogiai iškelti ieškinį duomenų eksportuotojui, nedėjusiam pakankamai pastangų, kad nustatytų, ar duomenų importuotojas gali įvykdyti savo teisinius įsipareigojimus pagal šiuos punktus (duomenų eksportuotojas turi įrodyti, kad dėjo pakankamai pastangų).

a) Jei kyla ginčas su duomenų subjektu ar institucija arba vienai iš Šalių arba abiem pateikiamas ieškinys dėl asmens duomenų tvarkymo, šalys praneš viena kitai apie kilusius ginčus ar pateiktus ieškinius ir bendradarbiaus siekdamos juos išspręsti taikiai ir laiku.

b) Šalys susitaria dalyvauti duomenų subjekto ar institucijos pradėtoje visiems prieinamoje ir neprivalomoje tarpininkavimo procedūroje. Jei jos dalyvauja teismo procese, Šalys gali nuspręsti tai daryti per atstumą (telefonu arba kitomis elektroninėmis priemonėmis). Šalys taip pat susitaria apsvarstyti galimybę dalyvauti arbitražo, tarpininkavimo ar kitame ginčų sprendimo procese, skirtame ginčams dėl duomenų tvarkymo spręsti.

c) Kiekviena Šalis paklusta šalies, kurioje įsisteigęs duomenų eksportuotojas, kompetentingo teismo arba institucijos sprendimui, kuris yra galutinis ir kuris nebegali būti apskųstas.

a) Jei duomenų importuotojas pažeidžia savo įsipareigojimus pagal šiuos punktus, duomenų eksportuotojas gal i laikinai sustabdyti asmens duomenų perdavimą duomenų importuotojui tol, kol pažeidimas atitaisomas arba kol nutraukiama sutartis.

b) Jeigu:

i) duomenų eksportuotojas laikinai sustabdo asmens duomenų perdavimą duomenų importuotojui ilgesniam negu vieno mėnesio laikotarpiui pagal a dalį;

ii) dėl šių punktų laikymosi duomenų importuotojas pažeistų savo teisinius arba taisyklių įsipareigojimus pagal importo šalies įstatymus;

iii) duomenų importuotojas iš esmės arba pakartotinai pažeidžia pagal šiuos punktus suteiktas garantijas ar įsipareigojimus;

iv) galutiniame ir neapskundžiamame šalies, kurioje įsisteigęs duomenų eksportuotojas, kompetentingo teismo ar institucijos sprendime nustatoma, kad duomenų importuotojas arba duomenų eksportuotojas pažeidė šiuos punktus;

v) pateikiamas pareiškimas dėl likvidavimo paskelbimo dėl duomenų importuotojo administravimo arba likvidavimo, nesvarbu ar asmens ar verslo atžvilgiu, jei jis nėra panaikinamas per atitinkamą periodą, tokiam panaikinimui nustatytą taikytinos teisės normų; paskiriamas bet viso turimo turto gavėjas; paskiriamas bankrutuojančios įmonės administratorius, jei duomenų importuotojas yra fizinis asmuo; arba atitinkamoje jurisdikcijoje įvykdomas lygiavertis veiksmas

c) Bet kuri Šalis gali nutraukti šių punktų galiojimą, jeigu: i) Komisija priima teigiamai lygiavertį sprendimą pagal Direktyvos 95/46/EB 25 straipsnio 6 dalį (ar kitą viršenybę turintį tekstą) Šaliai (ar jos sektoriui), į kurią duomenų importuotojas siunčia ir kurioje jis tvarko duomenis, arba ii) toje Šalyje pradedama tiesiogiai taikyti Direktyva 95/46/EB (arba kitas viršenybę turintis tekstas).

d) Šalys susitaria, kad šių punktų galiojimo nutraukimas bet kuriuo metu, bet kokiomis aplinkybėmis ir dėl bet kurios priežasties (išskyrus galiojimo nutraukimą pagal VI punkto c dalį) neatleidžia jų nuo įsipareigojimų ar sąlygų, nustatytų šiuose punktuose, dėl perduodamų asmens duomenų perdavimo.

1.  Tikslų apribojimas – asmens duomenys gali būti tvarkomi ir naudojami ar toliau perduodami tik B priede nurodytais tikslais arba duomenų subjektui davus leidimą.

2.  Duomenų kokybė ir proporcingumas – duomenys turi būti tikslūs, o jeigu reikia, turi būti tikslinami. Duomenys turi atitikti tikslus, kuriais jie yra perduodami ir toliau tvarkomi, jie turi būti su šiais tikslais susiję, jų neturi būti nei per daug, nei per mažai.

3.  Skaidrumas – duomenų subjektams turi būti suteikta informacija reikalinga sąžiningam tvarkymui užtikrinti (pvz.: informacija apie tikslus, kuriais duomenys yra tvarkomi ir apie perdavimą), jei tokios informacijos dar nesuteikė duomenų eksportuotojas.

4.  Saugumas ir konfidencialumas – duomenų valdytojas turi imtis atitinkamų techninių ir organizacinių saugumo priemonių, kad apsisaugotų nuo rizikos, susijusios su atsitiktiniu ar neteisėtu duomenų sunaikinimu ar atsitiktiniu praradimu, pakeitimu, neteisėtu atskleidimu ar prieiga tvarkant duomenis. Asmenys, veikiantys pagal duomenų valdytojo įgaliojimą, tarp jų ir duomenų tvarkytojas, duomenis gali tvarkyti tik gavę duomenų valdytojo nurodymus.

5.  Teisė gauti informaciją, ištaisyti, sunaikinti ir prieštarauti – remiantis Direktyvos 95/46/EB 12 straipsniu, duomenų subjektas tiesiogiai ar per trečiąją šalį turi gauti asmens informaciją, kurią organizacija turi, išskyrus užklausimus, kuriais yra akivaizdžiai piktnaudžiaujama, pateikiamus per dažnai arba pakartotinai ir sistemingai, arba kuriems pagal duomenų eksportuotojo šalies įstatymus nebūtina suteikti prieigos. Jei institucija buvo suteikusi išankstinį sutikimą, taip pat nebūtina suteikti prieigos, jei tikėtina, kad tai stipriai pažeistų duomenų importuotojo ar kitų organizacijų, susijusių su duomenų importuotoju, interesus ir šie interesai nėra viršesni už pagrindines duomenų subjekto teises ir laisves. Asmens duomenų šaltinių nurodyti nebūtina, jei tai nėra įmanoma dedant visas reikalingas pastangas arba, jei asmenų teisės, išskyrus pavienius asmenis, būtų pažeistos. Duomenų subjektams privalo būti suteikta galimybė pataisyti, pakeisti ar ištrinti su jais susijusią informaciją, jei ji yra netiksli ar tvarkyta pagal šiuos principus. Jei yra pagrįstų priežasčių abejoti užklausimo teisėtumu, prieš pataisydama, pakeisdama ar ištrindama informaciją organizacija gali reikalauti pasiteisinimo. Trečiosioms šalims, kurioms duomenys buvo atskleisti, kad duomenys buvo ištaisyti, pakeisti ar ištrinti, pranešti nebūtina, jei tai padaryti būtų pernelyg sunku. Duomenų subjektai turi teisę prieštarauti su jais susijusių asmens duomenų tvarkymui, jei yra rimtų teisėtų priežasčių, susijusių su jų konkrečia padėtimi. Įrodinėjimo pareiga priklauso duomenų importuotojui, o duomenų subjektas dėl atsisakymo visada gali kreiptis į instituciją.

6.  Ypatingi asmens duomenys – duomenų importuotojas imasi tokių papildomų priemonių (pvz., susijusių su apsauga), kurios yra būtinos ypatingiems asmens duomenims apsaugoti pagal jo įsipareigojimus, nurodytus II punkte.

7.  Duomenys, naudojami tiesioginės rinkodaros tikslais – jei duomenys tvarkomi tiesioginės rinkodaros tikslais, turi būti nustatytos veiksmingos procedūros, suteikiančios galimybę duomenų subjektui bet kuriuo metu paprieštarauti, kad jo duomenys būtų naudojami tokiais tikslais.

8.  Automatiniai sprendimai – šiuose punktuose „automatinis sprendimas“ – duomenų eksportuotojo ar duomenų importuotojo sprendimas, kuris turi teisinių pasekmių, susijusių su duomenų subjektu, arba turi svarbaus poveikio duomenų subjektui ir kuris yra paremtas tik automatiniu asmens duomenų tvarkymu, skirtu įvertinti atitinkamus su asmeniu susijusius aspektus tokius kaip darbingumas, kreditingumas, patikimumas, elgesys ir kt. Duomenų importuotojas nedaro jokių automatinių sprendimų, susijusių su duomenų subjektu, išskyrus atvejus kai:

a)

 

b) jei duomenų eksportuotojo šalies įstatymuose nurodyta kitaip.