... (49) valdžios institucijų, kompiuterinių incidentų tyrimo tarnybų, kompiuterių saugumo incidentų tyrimo tarnybų, elektroninių ryšių tinklų bei paslaugų teikėjų ir saugumo technologijų bei paslaugų teikėjų atliekamas asmens duomenų tvarkymas tik tiek, kiek tai yra būtina ir proporcinga siekiant užtikrinti tinklo ir informacijos saugumą, t. y. tinklo ar informacinės sistemos nustatyto patikimumo laipsnio atsparumą trikdžiams arba neteisėtiems ar tyčiniams veiksmams, kuriais pažeidžiamas saugomų ar persiunčiamų asmens duomenų prieinamumas, autentiškumas, vientisumas ir konfidencialumas, ir susijusių paslaugų, kurias teikia tie tinklai ir sistemos arba kurios per juos prieinamos, saugumą, laikomas teisėtu atitinkamo duomenų valdytojo interesu. Tai galėtų, pavyzdžiui, užkirsti kelią neteisėtai prieigai prie elektroninių ryšių tinklų ir kenkimo programų kodų platinimui, taip pat sustabdyti atkirtimo nuo paslaugos atakas ir neleisti pakenkti kompiuterių bei elektroninių ryšių sistemoms; ...
... (49) The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems. ...
... (45) kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, duomenų tvarkymo pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje. Šiuo reglamentu nereikalaujama kiekvienu atskiru duomenų tvarkymo atveju specialaus teisės o Kelioms duomenų tvarkymo operacijoms gali užtekti vieno teisės akto, kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas. Be to, Sąjungos ar valstybės narės teisėje turėtų būti nustatytas asmens duomenų tvarkymo tikslas. Be to, šiame pagrinde galėtų būti nurodytos bendrosios šio reglamento sąlygos, kuriomis reglamentuojamas asmens duomenų tvarkymo teisėtumas, nustatytos asmens duomenų valdytojo, tvarkytinų asmens duomenų rūšies, atitinkamų duomenų subjektų, subjektų, kuriems asmens duomenys gali būti atskleisti, tikslų apribojimų, saugojimo laikotarpio ir kitų priemonių, kuriomis užtikrinamas teisėtas ir sąžiningas duomenų tvarkymas, specifikacijos. Sąjungos arba valstybės narės teisėje taip pat turėtų būti nustatyta, ar duomenų valdytojas, atlikdamas užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, turėtų būti valdžios institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba, kai tai pateisinama viešuoju interesu, įskaitant sveikatos apsaugos tikslais, tokiais kaip visuomenės sveikata ir socialinė apsauga bei sveikatos priežiūros paslaugų valdymas, privatinės teisės reglamentuojamas asmuo, toks kaip profesinė asociacija; ...
... (45) Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association. ...
... g) tvarkyti duomenis būtina dėl svarbaus viešojo intereso priežasčių, remiantis Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės; ...
... (g) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject; ...
... Jei duomenų subjektas yra davęs sutikimą arba duomenų tvarkymas yra grindžiamas Sąjungos arba valstybės narės teise, o tai demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant apsaugoti visų pirma svarbius bendro viešojo intereso tikslus, asmens duomenų valdytojui turėtų būti leidžiama toliau tvarkyti duomenis neatsižvelgiant į tikslų suderinamumą. Bet kuriuo atveju turėtų būti užtikrinta, kad būtų taikomi šiame reglamente nustatyti principai, visų pirma, kad duomenų subjektas būtų informuotas apie tuos kitus tikslus ir apie savo teises, įskaitant teisę nesutikti. Kai duomenų valdytojas nurodo galimas nusikalstamas veikas arba grėsmes viešajam saugumui ir persiunčia susijusius atskirų atvejų arba kelių atvejų, susijusių su ta pačia nusikalstama veika arba grėsmėmis visuomenės saugumui, asmens duomenis kompetentingai institucijai, laikoma, kad tai atitinka duomenų valdytojo teisėtą interesą. Tačiau toks duomenų persiuntimas dėl duomenų valdytojo teisėto intereso arba tolesnis asmens duomenų tvarkymas turėtų būti draudžiamas, jei duomenų tvarkymas yra nesuderinamas su teisine, profesine ar kita įpareigojančia prievole saugoti paslaptį; ...
... Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy. ...
... (156) tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, turėtų būti taikomos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės pagal šį reglamentą. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų įgyvendintos techninės ir organizacinės priemonės siekiant užtikrinti visų pirma duomenų kiekio mažinimo principą. Asmens duomenys archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turi būti toliau tvarkomi po to, kai asmens duomenų valdytojas įvertina galimybes pasiekti šiuos tikslus tvarkant duomenis, kai negalima arba nebegalima nustatyti duomenų subjektų, su sąlyga, kad galioja tinkamos apsaugos priemonės (tokios, kaip pavyzdžiui pseudonimų suteikimas asmens duomenims). Valstybės narės turėtų numatyti tinkamas apsaugos priemones, taikomas tvarkant asmens duomenis archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais, arba statistiniais tikslais. Valstybėms narėms turėtų būti leidžiama konkrečiomis aplinkybėmis ir esant tinkamoms duomenų subjektų apsaugos priemonėms numatyti specifikacijas ir nukrypti leidžiančias nuostatas dėl informacijos reikalavimų ir teisių į asmens duomenų ištaisymą ar ištrynimą, būti pamirštam, į duomenų tvarkymo apribojimą, duomenų perkeliamumą ir nesutikti su asmens duomenų tvarkymu archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Dėl minėtų sąlygų ir apsaugos priemonių gali tekti nustatyti specialias procedūras duomenų subjektams, kad jie galėtų naudotis tomis teisėmis, jeigu tai tikslinga atsižvelgiant į konkretaus tvarkymo tikslus, ir technines bei organizacines priemones, kurių tikslas – kuo labiau sumažinti asmens duomenų tvarkymo apimtį, laikantis proporcingumo ir būtinumo principų. Tvarkant asmens duomenis moksliniais tikslais taip pat turėtų būti laikomasi kitų atitinkamų teisės aktų, pavyzdžiui, susijusių su klinikiniais tyrimais; ...
... (156) The processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be subject to appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation. Those safeguards should ensure that technical and organisational measures are in place in order to ensure, in particular, the principle of data minimisation. The further processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is to be carried out when the controller has assessed the feasibility to fulfil those purposes by processing data which do not permit or no longer permit the identification of data subjects, provided that appropriate safeguards exist (such as, for instance, pseudonymisation of the data). Member States should provide for appropriate safeguards for the processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. Member States should be authorised to provide, under specific conditions and subject to appropriate safeguards for data subjects, specifications and derogations with regard to the information requirements and rights to rectification, to erasure, to be forgotten, to restriction of processing, to data portability, and to object when processing personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. The conditions and safeguards in question may entail specific procedures for data subjects to exercise those rights if this is appropriate in the light of the purposes sought by the specific processing along with technical and organisational measures aimed at minimising the processing of personal data in pursuance of the proportionality and necessity principles. The processing of personal data for scientific purposes should also comply with other relevant legislation such as on clinical trials. ...
... (53) specialių kategorijų asmens duomenys, kuriems taikytina aukštesnio lygio apsauga, galėtų būti tvarkomi tik su sveikata susijusiais tikslais, kai būtina pasiekti tuos tikslus fizinių asmenų ir visos visuomenės labui, visų pirma valdant sveikatos apsaugos arba socialinės rūpybos paslaugas ir sistemas, be kita ko, kai tokius duomenis tvarko valdymo ir centrinės nacionalinės sveikatos apsaugos institucijos kokybės kontrolės, valdymo informacijos ir sveikatos apsaugos arba socialinės rūpybos sistemos bendros priežiūros nacionaliniu ir vietos lygiu tikslais, ir užtikrinant sveikatos apsaugos arba socialinės rūpybos ir tarpvalstybinės sveikatos priežiūros tęstinumą arba sveikatos saugumo, stebėsenos ir įspėjimo tikslais, arba archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, remiantis Sąjungos arba valstybės narės teise, pagal kuriuos reikia pasiekti viešojo intereso tikslą, taip pat dėl viešojo intereso atliekant tyrimus visuomenės sveikatos srityje. Todėl šiame reglamente turėtų būti numatytos suderintos specialių kategorijų asmens sveikatos duomenų tvarkymo sąlygos, atsižvelgiant į specialius poreikius, visų pirma kai tokius duomenis tam tikrais su sveikata susijusiais tikslais tvarko asmenys, kuriems taikoma teisinė prievolė saugoti profesinę paslaptį. Sąjungos ar valstybės narės teisėje turėtų būti numatytos konkrečios ir tinkamos priemonės fizinių asmenų pagrindinėms teisėms ir asmens duomenims apsaugoti. Valstybėms narėms turėtų būti leidžiama išlaikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, taikomas genetinių duomenų, biometrinių duomenų ar sveikatos duomenų tvarkymui. Tačiau šias sąlygas taikant tarpvalstybiniam tokių asmens duomenų tvarkymui neturėtų būti trikdomas laisvas duomenų judėjimas Sąjungoje; ...
... (53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data. ...
... (48) duomenų valdytojai, priklausantys įmonių grupėms arba įstaigoms, susijusioms su pagrindine įstaiga, gali turėti teisėtą interesą vidaus administraciniais tikslais, įskaitant klientų ar darbuotojų asmens duomenų tvarkymą, įmonių grupėje persiųsti asmens duomenis. Tuo nedaromas poveikis bendriesiems principams, reglamentuojantiems asmens duomenų perdavimą įmonių grupės viduje trečiojoje valstybėje esančiai įmonei; ...
... (48) Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected. ...
... (69) kai asmens duomenys galėtų būti teisėtai tvarkomi, kadangi duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, arba vadovaujantis duomenų valdytojo arba trečiosios šalies teisėtais interesais, duomenų subjektas vis tiek turėtų turėti teisę nesutikti su bet kokių su jo konkrečiu atveju susijusių asmens duomenų tvarkymu. Pareiga įrodyti, kad įtikinamas teisėtas duomenų valdytojo interesas yra viršesnis už duomenų subjekto interesus arba pagrindines teises ir laisves, turėtų tekti duomenų valdytojui; ...
... (69) Where personal data might lawfully be processed because processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, or on grounds of the legitimate interests of a controller or a third party, a data subject should, nevertheless, be entitled to object to the processing of any personal data relating to his or her particular situation. It should be for the controller to demonstrate that its compelling legitimate interest overrides the interests or the fundamental rights and freedoms of the data subject. ...
... (65) duomenų subjektas turėtų turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, kai tokių duomenų saugojimas pažeidžia šį reglamentą arba Sąjungos ar valstybės narės teisę, kuri taikoma duomenų valdytojui. Visų pirma duomenų subjektas turėtų turėti teisę reikalauti, kad jo asmens duomenys būtų ištrinti ir toliau nebetvarkomi, kai asmens duomenų nebereikia tiems tikslams, kuriais jie buvo renkami ar kitaip tvarkomi, kai duomenų subjektas atšaukė savo sutikimą ar nesutinka, kad jo asmens duomenys būtų tvarkomi, arba kai jo asmens duomenų tvarkymas dėl kitų priežasčių neatitinka šio reglamento. Ta teisė ypač svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie – ypač internete saugomi – asmens duomenys būtų pašalinti. Duomenų subjektas turėtų galėti naudotis ta teise, nepaisant to, kad jis nebėra vaikas. Tačiau turėtų būti teisėta toliau saugoti asmens duomenis, jei tai būtina naudojimosi teise į saviraiškos ir informacijos laisvę, siekiant įvykdyti teisinę prievolę, atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; ...
... (65) A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims. ...
... 2. Jeigu duomenys perduodami pagal 1 dalies pirmos pastraipos g punktą, negali būti perduodami visi registre esantys asmens duomenys arba visi registre esantys tam tikrų kategorijų asmens duomenys. Jeigu registras yra skirtas tam, kad su jame esančia informacija susipažintų teisėtų interesų turintys asmenys, duomenys perduodami tik tų asmenų prašymu arba jeigu tie asmenys bus tų duomenų gavėjai. ...
... 2. A transfer pursuant to point (g) of the first subparagraph of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register. Where the register is intended for consultation by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients. ...