Menetlus : 2012/0011(COD)
Menetluse etapid istungitel
Dokumendi valik : A7-0402/2013

Esitatud tekstid :

A7-0402/2013

Arutelud :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Hääletused :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Vastuvõetud tekstid :


RAPORT     ***I
PDF 3129kWORD 3567k
22. november 2013
PE 501.927v02-00 A7-0402/2013

Ettepanek võtta vastu Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Kodanikuvabaduste, justiits- ja siseasjade komisjon

Raportöör: Jan Philipp Albrecht

PR_COD_1amCom

MUUDATUSED
EUROOPA PARLAMENDI SEADUSANDLIKU RESOLUTSIOONI PROJEKT
 SELETUSKIRI
 TÖÖHÕIVE- JA SOTSIAALKOMISJONI ARVAMUS
 TÖÖSTUSE, TEADUSUURINGUTE JA ENERGEETIKAKOMISJONI ARVAMUS
 SISETURU- JA TARBIJAKAITSEKOMISJONI ARVAMUS
 ÕIGUSKOMISJONI ARVAMUS
 MENETLUS

EUROOPA PARLAMENDI SEADUSANDLIKU RESOLUTSIOONI PROJEKT

ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Seadusandlik tavamenetlus: esimene lugemine)

Euroopa Parlament,

–   võttes arvesse komisjoni ettepanekut Euroopa Parlamendile ja nõukogule (COM(2012)0011),

–   võttes arvesse Euroopa Liidu toimimise lepingu artikli 294 lõiget 2 ja artikli 16 lõiget 2, mille alusel komisjon esitas ettepaneku Euroopa Parlamendile (C7-0025/2012),

–   võttes arvesse Euroopa Liidu toimimise lepingu artikli 294 lõiget 3,

–   võttes arvesse Belgia Esindajatekoja, Saksamaa Liidunõukogu, Prantsusmaa Senati, Itaalia Saadikutekoja ja Rootsi Riksdagi poolt subsidiaarsuse ja proportsionaalsuse põhimõtete kohaldamist käsitleva protokolli nr 2 alusel esitatud põhjendatud arvamusi, mille kohaselt seadusandliku akti eelnõu ei vasta subsidiaarsuse põhimõttele,

–   võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee 23. mai 2012. aasta arvamust(1),

–   pärast konsulteerimist Regioonide Komiteega,

–   võttes arvesse Euroopa andmekaitseinspektori 7. märtsi 2012. aasta arvamust,

–   võttes arvesse Euroopa Liidu Põhiõiguste Ameti 1. oktoobri 2012. aasta arvamust,

–   võttes arvesse kodukorra artiklit 55,

–   võttes arvesse kodanikuvabaduste, justiits- ja siseasjade komisjoni raportit ning tööhõive- ja sotsiaalkomisjoni, tööstuse, teadusuuringute ja energeetikakomisjoni, siseturu- ja tarbijakaitsekomisjoni ning õiguskomisjoni arvamusi (A7-0402/2013),

1.  võtab vastu allpool toodud esimese lugemise seisukoha;

2.  palub komisjonil ettepaneku uuesti Euroopa Parlamendile saata, kui komisjon kavatseb seda oluliselt muuta või selle muu tekstiga asendada;

3.  teeb presidendile ülesandeks edastada Euroopa Parlamendi seisukoht nõukogule ja komisjonile ning liikmesriikide parlamentidele.

Muudatusettepanek 1

Ettepanek võtta vastu määrus

Põhjendus 14

Komisjoni ettepanek

Muudatusettepanek

(14) Käesolevas määruses ei käsitleta põhiõiguste ja -vabaduste kaitset ega andmete vaba liikumist väljapoole ELi õiguse reguleerimisala jäävate meetmete puhul ega isikuandmete töötlemist ELi institutsioonide, asutuste ja ametite poolt, mille kohta kehtib määrus (EÜ) nr 45/200144, ega isikuandmete töötlemist liikmesriikide poolt ELi ühise välis- ja julgeolekupoliitikaga seonduvate meetmete puhul.

(14) Käesolevas määruses ei käsitleta põhiõiguste ja -vabaduste kaitset ega andmete vaba liikumist väljapoole ELi õiguse reguleerimisala jäävate meetmete puhul. Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 45/2001 tuleks viia kooskõlla käesoleva määrusega ning seda tuleks kohaldada käesoleva määruse kohaselt.

____________

______________

44 ELT L 44, 12.1.2001, lk 1.

1 Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 45/2001, 18. detsember 2000, üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 008, 12.1.2001, lk 1).

Muudatusettepanek  2

Ettepanek võtta vastu määrus

Põhjendus 15

Komisjoni ettepanek

Muudatusettepanek

(15) Käesolevat määrust ei tuleks kohaldata isikuandmete töötlemise suhtes füüsilise isiku poolt üksnes isiklikel või kodustel eesmärkidel, näiteks kirjavahetus ja aadresside loetelu ning ilma tulutoova eesmärgita ning väljaspool ametialast ja äritegevust. Erandit ei tuleks kohaldada vastutavate töötlejate ega volitatud töötlejate suhtes, kes pakuvad isikuandmete isiklikel või kodustel eesmärkidel töötlemise vahendeid.

(15) Käesolevat määrust ei tuleks kohaldada isikuandmete töötlemise suhtes füüsilise isiku poolt üksnes isiklikel, perekonnaga seotud või kodustel eesmärkidel, näiteks kirjavahetus ja aadresside loetelu või eraisikute vaheline müük ning väljaspool ametialast ja äritegevust. Käesolevat määrust tuleks siiski kohaldada vastutavate töötlejate ja volitatud töötlejate suhtes, kes pakuvad isikuandmete isiklikel või kodustel eesmärkidel töötlemise vahendeid.

Muudatusettepanek  3

Ettepanek võtta vastu määrus

Põhjendus 18

Komisjoni ettepanek

Muudatusettepanek

(18) Käesolev määrus lubab määruse sätete kohaldamisel võtta arvesse ametlike dokumentide üldise kättesaadavuse põhimõtet.

(18) Käesolev määrus lubab määruse sätete kohaldamisel võtta arvesse ametlike dokumentide üldise kättesaadavuse põhimõtet. Avaliku sektori asutuse või organi valduses olevates dokumentides sisalduvaid isikuandmeid võib see asutus või organ avaldada kooskõlas ametlike dokumentide üldist kättesaadavust käsitlevate liikmesriigi õigusaktidega, mis ühitab õigust andmekaitsele ametlike dokumentide üldise kättesaadavuse õigusega ja milles esineb asjaomaste eri huvide õiglane tasakaal.

Muudatusettepanek  4

Ettepanek võtta vastu määrus

Põhjendus 20

Komisjoni ettepanek

Muudatusettepanek

(20) Selleks et tagada üksikisikutele kaitse, millele neil on õigus käesoleva määruse alusel, tuleks käesolevat määrust kohaldada väljaspool ELi asuva vastutava töötleja poolt ELis asuvate andmesubjektide isikuandmete töötlemise suhtes, kui töötlemistoimingud on seotud kaupade või teenuste pakkumisega kõnealustele andmesubjektidele või nende käitumise jälgimisega.

(20) Selleks et tagada üksikisikutele kaitse, millele neil on õigus käesoleva määruse alusel, tuleks käesolevat määrust kohaldada väljaspool ELi asuva vastutava töötleja poolt ELis asuvate andmesubjektide isikuandmete töötlemise suhtes, kui töötlemistoimingud on seotud kaupade või teenuste tasust sõltumatu pakkumisega kõnealustele andmesubjektidele või nende jälgimisega. Selleks et määrata kindlaks, kas vastutav töötleja pakub sellistele ELi andmesubjektidele kaupu või teenuseid, tuleks kontrollida, kas on ilmne, et vastutav töötleja kavatseb pakkuda teenuseid ühes või mitmes liidu liikmesriigis elavatele andmesubjektidele.

Muudatusettepanek  5

Ettepanek võtta vastu määrus

Põhjendus 21

Komisjoni ettepanek

Muudatusettepanek

(21) Selleks et teha kindlaks, kas töötlemistoimingut võib pidada andmesubjekti käitumise jälgimiseks”, tuleb selgitada välja, kas üksikisikut jälgitakse internetis andmetöötlusmeetoditega, mis hõlmavad üksikisiku profileerimist eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid.

(21) Selleks et teha kindlaks, kas töötlemistoimingut võib pidada andmesubjekti „jälgimiseks”, tuleb selgitada välja, kas üksikisikut jälgitakse, olenemata andmete päritolust, või kui nende kohta kogutakse muid andmeid, sealhulgas liidu avalikest registritest ja teadaannetest, mis on kättesaadavad liidust väljaspool, sealhulgas kavatsusega kasutada või võimaliku kavatsusega kasutada edaspidi andmetöötlusmeetodeid, mis hõlmavad üksikisiku profiilianalüüsi eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid.

Muudatusettepanek  6

Ettepanek võtta vastu määrus

Põhjendus 23

Komisjoni ettepanek

Muudatusettepanek

(23) Kaitsepõhimõtteid tuleks kohaldada tuvastatud või tuvastatavat isikut käsitleva igasuguse teabe suhtes. Isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib üksikisiku tuvastamiseks tõenäoliselt kasutada. Isikuandmete kaitse põhimõtteid ei tuleks kohaldada teabe suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada.

(23) Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut käsitleva igasuguse teabe suhtes. Isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib üksikisiku otseseks või kaudseks tuvastamiseks või eristamiseks tõenäoliselt kasutada. Selleks et teha kindlaks, kas üksikisiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvesse võtta kõik objektiivsed tegurid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogia arengut. Isikuandmete kaitse põhimõtteid ei tuleks seega kohaldada anonüümsete andmete suhtes, mis on selline teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga. Käesolev määrus ei käsitle seega niisuguste anonüümsete andmete töötlemist, sealhulgas statistikauurimuste ja teadustöö eesmärkidel.

Muudatusettepanek  7

Ettepanek võtta vastu määrus

Põhjendus 24

Komisjoni ettepanek

Muudatusettepanek

(24) Sidusteenuste kasutamisel võib üksikisikut seostada tema seadmete, rakenduste, tööriistade ja protokollide jagatavate veebiidentifikaatoritega, näiteks IP-aadresside või küpsistega. See võib jätta jälgi, mida kombineeritult serveritesse saabuvate kordumatute identifikaatoritega ja muu teabega võidakse kasutada üksikisikute profileerimiseks ja nende tuvastamiseks. Sellest järeldub, et identifitseerimisnumbreid, asukohaandmeid, veebiidentifikaatoreid ja muid konkreetseid tegureid ei ole iseenesest tingimata vaja pidada isikuandmeteks.

(24) Käesolevat määrust tuleks kohaldada töötlemise suhtes, mis hõlmab seadmete, rakenduste, tööriistade ja protokollide jagatavate veebiidentifikaatoritega, näiteks IP-aadresside, küpsiste ja raadiosagedustuvastuse kiipidega, välja arvatud juhul, kui need identifikaatorid ei ole seotud tuvastatud või tuvastatava füüsilise isikuga.

Muudatusettepanek  8

Ettepanek võtta vastu määrus

Põhjendus 25

Komisjoni ettepanek

Muudatusettepanek

(25) Nõusolek tuleb anda selgesõnaliselt ükskõik millisel sobival viisil, mis võimaldab andmesubjektil väljendada vabatahtlikku, konkreetset ja teadlikku tahet, kasutades selleks andmesubjekti avaldust või selget kinnitust, millega tagatakse, et üksikisik on teadlik sellest, et ta annab oma nõusoleku isikuandmete töötlemiseks, sealhulgas märgistades veebisaidil vajaliku lahtri või mis tahes muu avalduse või käitumise kaudu, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek nende isikuandmete kavandatavaks töötlemiseks. Vaikimist või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel teostatavaid töötlemistoiminguid. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik, kuid mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse.

(25) Nõusolek tuleb anda selgesõnaliselt ükskõik millisel sobival viisil, mis võimaldab andmesubjektil väljendada vabatahtlikku, konkreetset ja teadlikku tahet, kasutades selleks andmesubjekti valikut väljendavat avaldust või selget kinnitust, millega tagatakse, et üksikisik on teadlik sellest, et ta annab oma nõusoleku isikuandmete töötlemiseks. Nõusolekut väljendav tegevus võib hõlmata veebisaidil vajaliku lahtri märgistamist või mis tahes muud avaldust või käitumist, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek nende isikuandmete kavandatavaks töötlemiseks. Vaikimist, lihtsalt teenuse kasutamist või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel teostatavaid töötlemistoiminguid. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik, kuid mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse.

Muudatusettepanek  9

Ettepanek võtta vastu määrus

Põhjendus 29

Komisjoni ettepanek

Muudatusettepanek

(29) Laste isikuandmed vajavad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud ohtudest, tagajärgedest, kaitsemeetmetest ja oma isikuandmete töötlemisega seonduvatest õigustest. Selleks et määrata kindlaks, kas üksikisik on laps, tuleks käesolevas määruses üle võtta ÜRO lapse õiguste konventsioonis esitatud määratlus.

(29) Laste isikuandmed vajavad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud ohtudest, tagajärgedest, kaitsemeetmetest ja oma isikuandmete töötlemisega seonduvatest õigustest. Kui andmete töötlemine põhineb andmesubjekti nõusolekul seoses kaupade või teenuste pakkumisega otse lapsele, peab kuni 13aastase lapse puhul nõusoleku või loa andma lapse vanem või eestkostja. Eakohast keelekasutust tuleks kasutada juhtudel, kui sihtrühmaks on lapsed. Sellised seadusliku töötlemise muud alused nagu avalik huvi peaksid jääma kohaldatavaks, näiteks töötlemise puhul, mis toimub seoses lapsele otse pakutavate ennetavate või nõustamisteenustega.

Muudatusettepanek  10

Ettepanek võtta vastu määrus

Põhjendus 31

Komisjoni ettepanek

Muudatusettepanek

(31) Töötlemise seaduslikkuse tagamiseks tuleks isikuandmed töödelda asjaomase isiku nõusolekul või muul seaduses, käesolevas määruses või muus käesolevas määruses osutatud ELi või liikmesriigi õiguses ettenähtud õiguslikul alusel.

(31) Töötlemise seaduslikkuse tagamiseks tuleks isikuandmed töödelda asjaomase isiku nõusolekul või muul seaduses, käesolevas määruses või muus käesolevas määruses osutatud ELi või liikmesriigi õiguses ettenähtud õiguslikul alusel. Õigus- ja teovõimeta lapse või isiku nõusoleku andmise või temalt loa saamise tingimused tuleks kindlaks määrata asjakohaste liidu või liikmesriigi õigusaktidega.

Muudatusettepanek  11

Ettepanek võtta vastu määrus

Põhjendus 32

Komisjoni ettepanek

Muudatusettepanek

(32) Kui töötlemine toimub andmesubjekti nõusolekul, peaks vastutaval töötlejal lasuma tõendamiskohustus, et andmesubjekt on töötlemistoimingu heaks kiitnud. Eelkõige muid küsimusi käsitleva kirjaliku avalduse puhul tuleks kaitsemeetmetega tagada, et andmesubjekt on teadlik nõusoleku andmisest ja nõusoleku andmise ulatusest.

(32) Kui töötlemine toimub andmesubjekti nõusolekul, peaks vastutaval töötlejal lasuma tõendamiskohustus, et andmesubjekt on töötlemistoimingu heaks kiitnud. Eelkõige muid küsimusi käsitleva kirjaliku avalduse puhul tuleks kaitsemeetmetega tagada, et andmesubjekt on teadlik nõusoleku andmisest ja nõusoleku andmise ulatusest. Kooskõla tagamiseks minimaalse andmehulga põhimõttega ei tohiks tõendamiskohustust mõista kui andmesubjektide isikusamasuse tuvastamise kohustust, välja arvatud juhul, kui see on vajalik. Sarnaselt tsiviilseaduse tingimustega (nt nõukogu direktiiv 93/13/EMÜ1) peaksid andmekaitse põhimõtted olema võimalikult selged ja läbipaistvad. Need ei tohiks hõlmata varjatud ega kahjulikke klausleid. Nõusolekut ei saa anda kolmandate isikute andmete töötlemiseks.

 

1 Nõukogu direktiiv 93/13/EMÜ, 5. aprill 1993, ebaõiglaste tingimuste kohta tarbijalepingutes (EÜT L 95, 21.4.1993, lk 29).

Muudatusettepanek  12

Ettepanek võtta vastu määrus

Põhjendus 33

Komisjoni ettepanek

Muudatusettepanek

(33) Vabatahtliku nõusoleku tagamiseks tuleks täpsustada, et nõusolek ei kujuta endast kehtivat õiguslikku alust siis, kui üksikisikul puudub tegelik ja vaba valik ja ta ei saa seetõttu ilma negatiivsete tagajärgedeta nõusoleku andmisest keelduda või nõusolekut tagasi võtta.

(33) Vabatahtliku nõusoleku tagamiseks tuleks täpsustada, et nõusolek ei kujuta endast kehtivat õiguslikku alust siis, kui üksikisikul puudub tegelik ja vaba valik ja ta ei saa seetõttu ilma negatiivsete tagajärgedeta nõusoleku andmisest keelduda või nõusolekut tagasi võtta. Eriti oluline on see juhul, kui vastutav töötleja on avaliku sektori asutus, kes saab kehtestada kohustuse oma asjakohastest avaliku võimu teostamise volitustest tulenevalt ja nõusolekut ei saa lugeda vabalt antuks. Vaba nõusolekut ei väljenda vaikevalikute, nagu ettemärgitud kastikeste kasutamine, kus andmesubjekt peab töötlemisest keeldumiseks valikuid muutma. Teenuse kasutamiseks ei tohi nõuda nõusolekut täiendavate isikuandmete töötlemiseks, mis ei ole teenuse osutamiseks vajalikud. Nõusoleku tühistamine võimaldab andmetest sõltuva teenuse lõpetamist või osutamata jätmist. Kui üldine kavandatud eesmärk ei ole selge, peaks vastutav töötleja pakkuma andmesubjektile korrapäraselt teavet töötlemise kohta ja taotlema tema nõusoleku taaskinnitamist.

Muudatusettepanek  13

Ettepanek võtta vastu määrus

Põhjendus 34

Komisjoni ettepanek

Muudatusettepanek

(34) Nõusolek ei tohiks anda isikuandmete töötlemiseks kehtivat õiguslikku alust, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras. Nii on see eriti juhul, kui andmesubjekt sõltub vastutavast töötlejast, muu hulgas juhul, kui tööandja töötleb töövõtjate isikuandmeid töösuhte kontekstis. Juhul kui vastutav töötleja on avaliku sektori asutus, puudub tasakaal ainult selliste konkreetsete andmetöötlustoimingute puhul, mille juures avalik-õiguslik asutus saab kehtestada kohustuse oma asjakohastest avaliku võimu teostamise volitustest tulenevalt ja nõusolekut ei saa lugeda vabalt antuks, võttes arvesse andmesubjekti huve.

välja jäetud

Muudatusettepanek  14

Ettepanek võtta vastu määrus

Põhjendus 36

Komisjoni ettepanek

Muudatusettepanek

(36) Kui töötlemine toimub vastavalt vastutava töötleja seadusjärgsele kohustusele või kui töötlemine on vajalik avalikes huvides täidetava ülesande täitmiseks või ametliku võimu kasutamiseks, peaks töötlemise õiguslik alus olema sätestatud ELi õiguses või liikmesriigi õiguses, mis vastab Euroopa Liidu põhiõiguste harta nõuetele õiguste ja vabaduste mistahes piiramise osas. See, kas avaliku huviga seotud ülesannet täitev või avalikku võimu teostav vastutav töötleja peaks olema riigiasutus või muu avalik-õiguslik või füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata ELi või liikmesriikide õiguses.

(36) Kui töötlemine toimub vastavalt vastutava töötleja seadusjärgsele kohustusele või kui töötlemine on vajalik avalikes huvides täidetava ülesande täitmiseks või ametliku võimu kasutamiseks, peaks töötlemise õiguslik alus olema sätestatud ELi õiguses või liikmesriigi õiguses, mis vastab Euroopa Liidu põhiõiguste harta nõuetele õiguste ja vabaduste mistahes piiramise osas. See peaks samuti hõlmama kollektiivlepinguid, mida võidakse riigisisese õigusega tunnistada üldkehtivaks. See, kas avaliku huviga seotud ülesannet täitev või avalikku võimu teostav vastutav töötleja peaks olema riigiasutus või muu avalik-õiguslik või füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata ELi või liikmesriikide õiguses.

Muudatusettepanek  15

Ettepanek võtta vastu määrus

Põhjendus 38

Komisjoni ettepanek

Muudatusettepanek

(38) Töötlemise õiguslikuks aluseks võib olla vastutava töötleja õigustatud huvi tingimusel, et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad. See vajab hoolikat hindamist eelkõige juhul, kui andmesubjekt on laps, kuna lapsed vajavad erilist kaitset. Andmesubjektil peaks olema õigus töötlemine vaidlustada tema konkreetse olukorraga seonduvatel põhjustel ja tasuta. Läbipaistvuse tagamiseks peaks vastutav töötleja olema kohustatud andmesubjekti selgesõnaliselt teavitama oma õigustatud huvist asjaomase isiku vastu ja vaidlustamisõigusest ning samuti olema kohustatud need õigustatud huvid dokumenteerima. Arvestades, et avaliku sektori asutuste jaoks peab andmete töötlemise õigusliku aluse õigusaktiga kehtestama seadusandja, ei tuleks nimetatud õiguslikku alust kohaldada avalik-õiguslike asutuste poolse, nende ülesannete täitmiseks teostatava töötlemise puhul.

(38) Töötlemise õiguslikuks aluseks võib olla vastutava töötleja või avaldamise korral selle kolmanda isiku, kellele andmed avaldatakse, õigustatud huvi tingimusel, et nad vastavad andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga, ja et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad. See vajab hoolikat hindamist eelkõige juhul, kui andmesubjekt on laps, kuna lapsed vajavad erilist kaitset. Tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, tuleks eeldada, et varjunimega tähistatud andmetega piirduv töötlemine vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga. Andmesubjektil peaks olema õigus töötlemine tasuta vaidlustada. Läbipaistvuse tagamiseks peaks vastutav töötleja olema kohustatud andmesubjekti selgesõnaliselt teavitama oma õigustatud huvist asjaomase isiku vastu ja vaidlustamisõigusest ning samuti olema kohustatud need õigustatud huvid dokumenteerima. Andmesubjekti huvid ja põhiõigused võivad olla vastutava töötleja huvidest tähtsamad eelkõige juhul, kui isikuandmeid töödeldakse olukorras, kus andmesubjektid ei oota mõistlikult edasist töötlemist. Arvestades, et avaliku sektori asutuste jaoks peab andmete töötlemise õigusliku aluse õigusaktiga kehtestama seadusandja, ei tuleks nimetatud õiguslikku alust kohaldada avalik-õiguslike asutuste poolse, nende ülesannete täitmiseks teostatava töötlemise puhul.

Muudatusettepanek  16

Ettepanek võtta vastu määrus

Põhjendus 39

Komisjoni ettepanek

Muudatusettepanek

(39) Andmete töötlemine sellisel määral, mis on tingimata vajalik võrgu- ja infoturbe – s.o võrgu- ja infosüsteemi võime kaitsta end teatava kindlusega õnnetuste või ebaseaduslike või pahatahtlike tegevuste eest, mis seavad ohtu salvestatud või edastatud andmete kättesaadavuse, autentsuse, terviklikkuse ja konfidentsiaalsuse ja nende võrkude ja süsteemide poolt pakutavate või nende kaudu juurdepääsetavate teenuste turvalisuse – tagamiseks avaliku sektori asutuste, infoturbeintsidentidega tegelevate rühmade – CERTide, arvutiturbe juhtumitele reageerimise rühmade – CSIRTide, elektroonilise side võrkude ja teenuste pakkujate ning turvatehnoloogiate ja -teenuste pakkujate poolt kujutab endast asjaomase vastutava töötleja õigustatud huvi. See võib näiteks sisaldada elektroonilise side võrkudele ebaseadusliku juurdepääsu ja pahatahtliku koodi levitamise takistamist, teenusetõkestamise rünnete ning arvutite ja elektroonilise side süsteemide kahjustamise peatamist.

(39) Andmete töötlemine sellisel määral, mis on tingimata vajalik ja proportsionaalne võrgu- ja infoturbe – s.o võrgu- ja infosüsteemi võime kaitsta end õnnetuste või pahatahtlike tegevuste eest, mis seavad ohtu salvestatud või edastatud andmete kättesaadavuse, autentsuse, terviklikkuse ja konfidentsiaalsuse ja nende võrkude ja süsteemide poolt pakutavate või nende kaudu juurdepääsetavate teenuste turvalisuse – tagamiseks avaliku sektori asutuste, infoturbeintsidentidega tegelevate rühmade – CERTide, arvutiturbe juhtumitele reageerimise rühmade – CSIRTide, elektroonilise side võrkude ja teenuste pakkujate ning turvatehnoloogiate ja -teenuste pakkujate poolt kujutab endast asjaomase vastutava töötleja õigustatud huvi. See võib näiteks sisaldada elektroonilise side võrkudele ebaseadusliku juurdepääsu ja pahatahtliku koodi levitamise takistamist, teenusetõkestamise rünnete ning arvutite ja elektroonilise side süsteemide kahjustamise peatamist. Seda põhimõtet kohaldatakse ka isikuandmete töötlemise suhtes, et piirata pahatahtlikku juurdepääsu üldkasutatavatele võrkudele ja infosüsteemidele ja nende pahatahtlikku kasutamist, näiteks elektrooniliste identifikaatorite musta nimekirja kandmine.

Muudatusettepanek  17

Ettepanek võtta vastu määrus

Põhjendus 39 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(39 a) Tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, tuleks eeldada, et kahjude ennetamine või piiramine vastutava töötleja või avaldamise puhul kolmanda isiku, kellele andmed avaldatakse, poolt vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga. Sama põhimõtet kohaldatakse samuti andmesubjekti vastu esitatud õigusnõuete, näiteks võlgade sissenõudmise või tsiviilkahju hüvitamise ja tsiviilõiguslike kaitsevahendite täitmise suhtes.

Muudatusettepanek  18

Ettepanek võtta vastu määrus

Põhjendus 39 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(39 b) Tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, tuleks eeldada, et isikuandmete töötlemine enda toodete või sarnaste toodete ja teenuste otseturunduseks või otseturunduseks posti teel toimub vastutava töötleja või avaldamise puhul kolmanda isiku, kellele andmed avaldatakse, õigustatud huvides, ja et see vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga, kui on esitatud väga hästi nähtav teave vaidlustamisõiguse ja isikuandmete allika kohta. Ettevõtte kontaktandmete töötlemise puhul tuleks üldiselt eeldada, et see toimub vastutava töötleja või avaldamise puhul kolmanda isiku, kellele andmed avaldatakse, õigustatud huvides, ja et see vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga. Sama põhimõtet tuleks kohaldada andmesubjekti poolt ilmselgelt avalikustatud isikuandmete töötlemise suhtes.

Muudatusettepanek  19

Ettepanek võtta vastu määrus

Põhjendus 40

Komisjoni ettepanek

Muudatusettepanek

(40) Isikuandmete töötlemine muul eesmärgil peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks andmed algselt koguti, eelkõige juhul, kui töötlemine on vajalik ajaloo- või statistikauurimuste ning teadustöö eesmärgil. Kui muu eesmärk ei ole kooskõlas eesmärgiga, mille jaoks andmed algselt koguti, peaks vastutav töötleja andmete nimetatud muul eesmärgil töötlemiseks saama andmesubjekti nõusoleku või valima töötlemiseks seadusliku töötlemise muu õigusliku aluse, eelkõige kui see on ette nähtud ELi või selle liikmesriigi õigusega, mille õigust vastutava töötleja suhtes kohaldatakse. Igal juhul tuleks tagada käesolevas määruses sätestatud põhimõtete kohaldamine ja eelkõige andmesubjekti teavitamine kõnealustest muudest eesmärkidest.

välja jäetud

Muudatusettepanek  20

Ettepanek võtta vastu määrus

Põhjendus 41

Komisjoni ettepanek

Muudatusettepanek

(41) Oma loomult põhiõiguste ja eraelu puutumatuse seisukohast eriti tundlikud ja haavatavad isikuandmed vajavad erilist kaitset. Neid andmeid ei tohiks töödelda, välja arvatud juhul, kui andmesubjekt annab oma selgesõnalise nõusoleku. Erivajaduste puhul tuleks aga selgesõnaliselt sätestada käesolevast keelust tehtavad erandid, eelkõige juhul, kui töötlemine toimub teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.

välja jäetud

Muudatusettepanek  21

Ettepanek võtta vastu määrus

Põhjendus 42

Komisjoni ettepanek

Muudatusettepanek

(42) Tundlike andmeliikide töötlemise keelust peaks olema lubatud kõrvale kalduda ka seaduse alusel ja rakendades asjakohaseid kaitsemeetmeid, et kaitsta isikuandmeid ja muid põhiõigusi, kui seda õigustab avalik huvi, eelkõige tervishoiu, sealhulgas rahvatervise, sotsiaalkaitse ja tervishoiuteenuste korraldamise valdkonnas eelkõige selleks, et tagada hüvitisenõuete rahuldamise kord ja teenuste kvaliteet ning tasuvus tervisekindlustuse puhul, või ajaloo- või statistikauurimuste ning teadustöö eesmärgil.

(42) Tundlike andmeliikide töötlemise keelust peaks olema lubatud kõrvale kalduda ka seaduse alusel ja rakendades asjakohaseid kaitsemeetmeid, et kaitsta isikuandmeid ja muid põhiõigusi, kui seda õigustab avalik huvi, eelkõige tervishoiu, sealhulgas rahvatervise, sotsiaalkaitse ja tervishoiuteenuste korraldamise valdkonnas eelkõige selleks, et tagada hüvitisenõuete rahuldamise kord ja teenuste kvaliteet ning tasuvus tervisekindlustuse puhul, ajaloo- ja statistikauurimuste ning teadustöö eesmärgil või arhiveerimise puhul.

Muudatusettepanek  22

Ettepanek võtta vastu määrus

Põhjendus 45

Komisjoni ettepanek

Muudatusettepanek

(45) Juhul kui vastutav töötleja töötleb selliseid andmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima lisateavet ainult käesoleva määruse järgimiseks. Juurdepääsutaotluse korral on vastutaval töötlejal õigus küsida andmesubjektilt lisateavet, mis võimaldaks vastutaval töötlejal leida isikuandmed, mida see isik otsib.

(45) Juhul kui vastutav töötleja töötleb selliseid andmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima lisateavet ainult käesoleva määruse järgimiseks. Juurdepääsutaotluse korral on vastutaval töötlejal õigus küsida andmesubjektilt lisateavet, mis võimaldaks vastutaval töötlejal leida isikuandmed, mida see isik otsib. Kui andmesubjektil on võimalik selliseid andmeid anda, ei tohiks vastutavatel töötlejatel olla võimalik õigustada teabe puudumisega juurdepääsutaotlusest keeldumist.

Muudatusettepanek  23

Ettepanek võtta vastu määrus

Põhjendus 47

Komisjoni ettepanek

Muudatusettepanek

(47) Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil tasuta taotleda eelkõige juurdepääsu andmetele, õigust andmeid parandada ja kustutada ning kasutada vaidlustamisõigust. Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele kindlaksmääratud tähtaja jooksul ning vastamisest keeldumise korral seda põhjendama.

(47) Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil tasuta saada eelkõige juurdepääsu andmetele, õigust andmeid parandada ja kustutada ning kasutada vaidlustamisõigust. Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele mõistliku tähtaja jooksul ning vastamisest keeldumise korral seda põhjendama.

Muudatusettepanek  24

Ettepanek võtta vastu määrus

Põhjendus 48

Komisjoni ettepanek

Muudatusettepanek

(48) Õiglase ja läbipaistva töötlemise põhimõte nõuab, et andmesubjekti tuleks teavitada eelkõige töötlemistoimingu tegemisest ja selle eesmärkidest ning andmete säilitamise tähtajast, nendega tutvumise, nende muutmise ja kustutamise nõudmise ning kaebuse esitamise õigusest. Kui andmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud andmeid esitama, ja andmete esitamata jätmise tagajärgedest.

(48) Õiglase ja läbipaistva töötlemise põhimõte nõuab, et andmesubjekti tuleks teavitada eelkõige töötlemistoimingu tegemisest ja selle eesmärkidest ning tõenäolisest andmete igal otstarbel säilitamise tähtajast, kui andmed edastatakse kolmandatele isikutele või kolmandatele riikidele, vaidlustamismeetmete olemasolust, andmetega tutvumise, nende muutmise ja kustutamise nõudmise ning kaebuse esitamise õigusest. Kui andmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud andmeid esitama, ja andmete esitamata jätmise tagajärgedest. Seda teavet tuleks andmesubjektile anda – mis võib ka tähendada, et see tehakse hõlpsasti kättesaadavaks – pärast lihtsustatud teabe esitamist standardsete ikoonide kujul. Samuti võib see tähendada, et isikuandmeid töödeldakse viisil, mis võimaldab andmesubjektil oma õigusi tõhusalt kasutada.

Muudatusettepanek  25

Ettepanek võtta vastu määrus

Põhjendus 50

Komisjoni ettepanek

Muudatusettepanek

(50) Sellist kohustust ei pea siiski kehtestama juhul, kui andmesubjektil on see teave juba olemas või juhul, kui andmete kogumine või avaldamine on õigusnormides selgelt sätestatud või kui andmesubjekti teavitamine osutub võimatuks või nõuaks ebaproportsionaalselt suuri jõupingutusi. Viimati nimetatu võib osutuda eriti asjakohaseks juhul, kui töötlemine toimub ajaloo- või statistikauurimuste ning teadustöö eesmärgil; sellisel juhul võib arvesse võtta andmesubjektide arvu, andmete vanust ja kõiki vastuvõetud kompenseerivaid meetmeid.

(50) Sellist kohustust ei pea siiski kehtestama juhul, kui andmesubjekt on sellest teabest juba teadlik või juhul, kui andmete kogumine või avaldamine on õigusnormides selgelt sätestatud või kui andmesubjekti teavitamine osutub võimatuks või nõuaks ebaproportsionaalselt suuri jõupingutusi.

Muudatusettepanek  26

Ettepanek võtta vastu määrus

Põhjendus 51

Komisjoni ettepanek

Muudatusettepanek

(51) Selleks, et töötlemisest teada ja kontrollida selle seaduslikkust, peaks igaühel olema õigus tutvuda andmetega, mis on tema kohta kogutud, ja õigus selle õiguse lihtsale kasutamisele. Igal andmesubjektil peaks seega olema õigus teada eelkõige andmete töötlemise eesmärke, ajavahemikku, andmete saajaid, töödeldavate andmete loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt profiilianalüüsi korral) ning saada eelneva kohta teavet. See õigus ei tohiks kahjustada teiste isikute õigusi ja vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. Sellise kaalutlemise tulemus ei tohiks aga olla see, et andmesubjektile ei anta üldse teavet.

(51) Selleks, et töötlemisest teada ja kontrollida selle seaduslikkust, peaks igaühel olema õigus tutvuda andmetega, mis on tema kohta kogutud, ja õigus selle õiguse lihtsale kasutamisele. Igal andmesubjektil peaks seega olema õigus teada eelkõige andmete töötlemise eesmärke, hinnangulist ajavahemikku, andmete saajaid, töödeldavate andmete üldist loogikat ja sellise töötlemise võimalikke tagajärgi ning saada eelneva kohta teavet. See õigus ei tohiks kahjustada teiste isikute õigusi ja vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit, nagu seoses tarkvara kaitsva autoriõigusega. Sellise kaalutlemise tulemus ei tohiks aga olla see, et andmesubjektile ei anta üldse teavet.

Muudatusettepanek  27

Ettepanek võtta vastu määrus

Põhjendus 53

Komisjoni ettepanek

Muudatusettepanek

(53) Igal isikul peaks olema õigus teda käsitlevate isikuandmete parandamisele ja õigus olla unustatud juhul, kui selliste andmete säilitamine ei ole kooskõlas käesoleva määrusega. Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele eelkõige siis, kui andmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on loobunud oma töötlemisele antud nõusolekust või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele. Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada. Andmete jätkuv säilitamine peaks olema lubatud aga juhul, kui see on vajalik ajaloo- või statistikauurimuste ning teadustöö eesmärgil, rahvatervise valdkonna avalikes huvides, seadusega tagatud väljendusvabaduse õiguse kasutamiseks või kui esineb andmete töötlemise piiramise, mitte nende kustutamise põhjus.

(53) Igal isikul peaks olema õigus teda käsitlevate isikuandmete parandamisele ja õigus andmete kustutamisele juhul, kui selliste andmete säilitamine ei ole kooskõlas käesoleva määrusega. Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele eelkõige siis, kui andmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on loobunud oma töötlemisele antud nõusolekust või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele. Andmete jätkuv säilitamine peaks olema lubatud aga juhul, kui see on vajalik ajaloo- või statistikauurimuste ning teadustöö eesmärgil, rahvatervise valdkonna avalikes huvides, seadusega tagatud väljendusvabaduse õiguse kasutamiseks või kui esineb andmete töötlemise piiramise, mitte nende kustutamise põhjus. Lisaks ei tuleks andmete kustutamise õigust kohaldada, kui isikuandmete säilitamine on vajalik andmesubjektiga sõlmitud lepingu täitmiseks või kui kehtib seadusjärgne kohustus andmed säilitada.

Muudatusettepanek  28

Ettepanek võtta vastu määrus

Põhjendus 54

Komisjoni ettepanek

Muudatusettepanek

(54) Selleks et tugevdada võrgukeskkonnas õigust olla unustatud, tuleks laiendada õigust andmete kustutamisele selliselt, et isikuandmed avaldanud vastutav töötleja on kohustatud teavitama andmeid töötlevaid kolmandaid isikuid andmesubjekti taotlusest kustutada mis tahes lingid nimetatud isikuandmetele ja andmekoopiad ja -kordused. Teavitamise tagamiseks peaks vastutav töötleja võtma kõik mõistlikud meetmed, sealhulgas tehnilised meetmed, mis on seotud andmetega, mille avaldamise eest vastutav töötleja vastutab. Kui isikuandmed avaldab kolmas isik, peaks avaldamise eest vastutama kolmandale isikule avaldamise loa andnud vastutav töötleja.

(54) Selleks et tugevdada võrgukeskkonnas õigust andmete kustutamisele, tuleks laiendada õigust andmete kustutamisele selliselt, et ilma õigusliku põhjenduseta isikuandmed avaldanud vastutav töötleja on kohustatud tegema kõik vajaliku, et andmed saaks kustutatud, sealhulgas kolmandate isikute poolt, kuid ilma et see piiraks andmesubjekti õigust nõuda hüvitist.

Muudatusettepanek  29

Ettepanek võtta vastu määrus

Põhjendus 54 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(54 a) Andmed, mida andmesubjekt seab kahtluse alla ning mille täpsust või ebatäpsust ei saa kindlaks teha, tuleks blokeerida kuni küsimuse lahendamiseni.

Muudatusettepanek  30

Ettepanek võtta vastu määrus

Põhjendus 55

Komisjoni ettepanek

Muudatusettepanek

(55) Selleks et tugevdada kontrolli oma andmete ja nendega tutvumise õiguse üle, peaks andmesubjektidel olema struktureeritud ja üldkasutatavas vormingus olevate isikuandmete elektroonilise töötlemise puhul õigus saada neid käsitlevate andmete koopia samuti üldkasutatavas elektroonilises vormingus. Andmesubjektil peaks olema võimalik edastada enda esitatud andmeid ühest automatiseeritud rakendusest (näiteks sotsiaalvõrgustikust) teise. Seda tuleks kohaldada juhul, kui andmesubjekt esitas andmed automatiseeritud töötlemissüsteemi nõusoleku alusel või lepingu täitmisel.

(55) Selleks et tugevdada kontrolli oma andmete ja nendega tutvumise õiguse üle, peaks andmesubjektidel olema struktureeritud ja üldkasutatavas vormingus olevate isikuandmete elektroonilise töötlemise puhul õigus saada neid käsitlevate andmete koopia samuti üldkasutatavas elektroonilises vormingus. Andmesubjektil peaks olema võimalik edastada enda esitatud andmeid ühest automatiseeritud rakendusest (näiteks sotsiaalvõrgustikust) teise. Vastutavaid töötlejaid peaks julgustama arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. Seda tuleks kohaldada juhul, kui andmesubjekt esitas andmed automatiseeritud töötlemissüsteemi nõusoleku alusel või lepingu täitmisel. Infoühiskonna teenuste osutajad ei tohiks muuta oma teenuste osutamisel kohustuslikuks nende andmete edastamist.

Muudatusettepanek  31

Ettepanek võtta vastu määrus

Põhjendus 56

Komisjoni ettepanek

Muudatusettepanek

(56) Juhul kui isikuandmeid võib seaduslikult töödelda andmesubjekti eluliste huvide kaitsmiseks, ametiasutuse avalikes huvides või vastutava töötleja õiguspärastes huvides, on igal andmesubjektil ikkagi õigus teda käsitlevate andmete töötlemine vaidlustada. Tõendamiskohustus peaks lasuma vastutaval töötlejal, kes peaks tõendama, et tema õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.

(56) Juhul kui isikuandmeid võib seaduslikult töödelda andmesubjekti eluliste huvide kaitsmiseks, ametiasutuse avalikes huvides või vastutava töötleja õiguspärastes huvides, on igal andmesubjektil ikkagi õigus teda käsitlevate andmete töötlemine tasuta, lihtsalt ja tulemuslikult vaidlustada. Tõendamiskohustus peaks lasuma vastutaval töötlejal, kes peaks tõendama, et tema õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.

Muudatusettepanek  32

Ettepanek võtta vastu määrus

Põhjendus 57

Komisjoni ettepanek

Muudatusettepanek

(57) Kui isikuandmeid töödeldakse otseturunduse eesmärgil, peaks olema andmesubjektil õigus selline töötlemine tasuta, lihtsalt ja tulemuslikult vaidlustada.

(57) Kui andmesubjektil on õigus töötlemine vaidlustada, peaks vastutav töötleja seda andmesubjektile sõnaselgelt pakkuma arusaadaval viisil ja arusaadavas vormis, kasutades selget ja lihtsat keelt ning muust teabest selgelt eristatuna.

Muudatusettepanek  33

Ettepanek võtta vastu määrus

Põhjendus 58

Komisjoni ettepanek

Muudatusettepanek

(58) Igal füüsilisel isikul peaks olema õigus sellele, et tema suhtes ei kohaldata automatiseeritud töötlemise teel tehtaval profiilianalüüsil põhinevat meedet. Selline meede peaks olema lubatud aga siis, kui see on selgesõnaliselt lubatud seadusega, seda kasutatakse lepingu sõlmimisel või täitmisel või siis, kui andmesubjekt on selleks andnud oma nõusoleku. Igal juhul tuleks sellise töötlemise korral kohaldada sobivaid kaitsemeetmeid, kaasa arvatud andmesubjektile antavat konkreetset teavet, õigust otsesele isiklikule kontaktile ning seda, et sellist meedet ei tohiks kohaldata lapse puhul.

(58) Igal füüsilisel isikul peaks olema õigus profiilianalüüs vaidlustada, ilma et see piiraks andmetöötluse õiguspärasust. Selline profiilianalüüs, mis viib andmesubjekti puudutavaid õiguslikke tagajärgi põhjustavate meetmeteni või mõjutab oluliselt asjaomase andmesubjekti huvisid, õigusi või vabadusi, peaks olema lubatud ainult siis, kui see on selgesõnaliselt lubatud seadusega, seda kasutatakse lepingu sõlmimisel või täitmisel või siis, kui andmesubjekt on selleks andnud oma nõusoleku. Igal juhul tuleks sellise töötlemise korral kohaldada sobivaid kaitsemeetmeid, kaasa arvatud andmesubjektile antavat konkreetset teavet, õigust otsesele isiklikule kontaktile ning seda, et sellist meedet ei tohiks kohaldada lapse puhul. Sellised meetmed ei tohi põhjustada üksikisikute diskrimineerimist rassi, etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, seksuaalse sättumuse või soolise identiteedi tõttu.

Muudatusettepanek  34

Ettepanek võtta vastu määrus

Põhjendus 58 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(58 a) Üksnes varjunimega tähistatud andmete töötlemisel põhineva profiilianalüüsi puhul ei tuleks eeldada, et see mõjutab oluliselt andmesubjekti huve, õigusi või vabadusi. Kui profiilianalüüs, mis põhineb kas ühest allikast pärit varjunimega tähistatud andmetel või eri allikatest pärit varjunimega tähistatud andmete koondamisel, võimaldab vastutaval töötlejal viia varjunimega tähistatud andmed kokku konkreetse andmesubjektiga, ei tuleks töödeldud andmeid enam käsitada varjunimega tähistatud andmetena.

Muudatusettepanek  35

Ettepanek võtta vastu määrus

Põhjendus 59

Komisjoni ettepanek

Muudatusettepanek

(59) Konkreetsete põhimõtete, õiguste saada seoses isikuandmetega teavet, nendega andmetega tutvuda, neid parandada ja kustutada, õiguse andmete ülekantavusele, vaidlustamisõiguse, profiilianalüüsil põhinevate meetmete, andmesubjekti isikuandmetega seotud rikkumisest teavitamise ning vastutavate töötlejate teatavate seonduvate kohustuste piirangud võib kehtestada ELi või liikmesriikide õigusaktidega, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada avalik julgeolek, sealhulgas inimelude kaitsmine eelkõige loodus- ja inimtegevusest tingitud õnnetuste korral, kuritegude ja reguleeritud kutsealade ametieetika rikkumise tõkestamine, uurimine ja nende eest vastutusele võtmine, ELi või liikmesriigi muu avalik huvi, eelkõige ELi või liikmesriigi oluline majandus- või finantshuvi, andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse. Nimetatud piirangud peaksid vastama Euroopa Liidu põhiõiguste hartas ning inimõiguste ja põhivabaduste kaitse Euroopa konventsioonis sätestatud nõuetele.

(59) Konkreetsete põhimõtete, õiguste saada seoses isikuandmetega teavet, neid parandada ja kustutada, õiguse andmetega tutvumisele ja andmete saamisele, vaidlustamisõiguse, profiilianalüüsi, andmesubjekti isikuandmetega seotud rikkumisest teavitamise ning vastutavate töötlejate teatavate seonduvate kohustuste piirangud võib kehtestada ELi või liikmesriikide õigusaktidega, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada avalik julgeolek, sealhulgas inimelude kaitsmine eelkõige loodus- ja inimtegevusest tingitud õnnetuste korral, kuritegude ja reguleeritud kutsealade ametieetika rikkumise tõkestamine, uurimine ja nende eest vastutusele võtmine, ELi või liikmesriigi muu konkreetse ja selgelt määratletud avalik huvi, eelkõige ELi või liikmesriigi oluline majandus- või finantshuvi, andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse. Nimetatud piirangud peaksid vastama Euroopa Liidu põhiõiguste hartas ning inimõiguste ja põhivabaduste kaitse Euroopa konventsioonis sätestatud nõuetele.

Muudatusettepanek  36

Ettepanek võtta vastu määrus

Põhjendus 60

Komisjoni ettepanek

Muudatusettepanek

(60) Tuleks kehtestada vastutava töötleja laialdane vastutus temapoolse ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja tagama iga töötlemistoimingu kooskõla käesoleva määrusega, samuti on ta kohustatud seda kooskõla tõendama.

(60) Tuleks kehtestada vastutava töötleja laialdane vastutus temapoolse ja tema nimel toimuva isikuandmete mis tahes töötlemise eest, eelkõige seoses dokumentidega, andmete turvalisusega, mõjuhinnangutega, andmekaitseametnikuga ning andmekaitseasutuste järelevalvega. Eelkõige peaks vastutav töötleja tagama iga töötlemistoimingu kooskõla käesoleva määrusega, samuti peaks ta suutma seda kooskõla tõendada. Seda peaksid kontrollima sõltumatud sise- või välisaudiitorid.

Muudatusettepanek  37

Ettepanek võtta vastu määrus

Põhjendus 61

Komisjoni ettepanek

Muudatusettepanek

(61) Andmesubjektide õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab vajalike tehniliste ja korralduslike meetmete võtmist nii töötlemise kavandamise kui ka töötlemise ajal, et tagada käesoleva määruse nõuete täitmine. Käesoleva määruse täitmise tagamiseks ja selle tõendamiseks peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama asjakohaseid meetmeid, mis vastavad eelkõige isikuandmete lõimitud ja vaikimisi kaitse põhimõtetele.

(61) Andmesubjektide õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab vajalike tehniliste ja korralduslike meetmete võtmist nii töötlemise kavandamise kui ka töötlemise ajal, et tagada käesoleva määruse nõuete täitmine. Käesoleva määruse täitmise tagamiseks ja selle tõendamiseks peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama asjakohaseid meetmeid, mis vastavad eelkõige isikuandmete lõimitud ja vaikimisi kaitse põhimõtetele. Isikuandmete lõimitud kaitse põhimõte eeldab andmekaitse integreerimist tehnoloogia kogu olelusringi, algsest projekteerimisest selle kasutuselevõtu, kasutamise ja lõpliku kõrvaldamiseni. See peaks samuti hõlmama vastutust vastutava või volitatud töötleja kasutatavate toodete ja teenuste eest. Isikuandmete vaikimisi kaitse põhimõte nõuab seda, et toodete ja teenuste eraelukaitse seaded vastaksid vaikimisi sellistele andmekaitse üldpõhimõtetele nagu minimaalne andmehulk ja eesmärgi piiritlemine.

Muudatusettepanek  38

Ettepanek võtta vastu määrus

Põhjendus 62

Komisjoni ettepanek

Muudatusettepanek

(62) Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas järelevalveasutuste teostatava kontrolli ja võetavate meetmete korral nõuab vastutusvaldkondade selget jaotamist käesolevas määruses, seda ka juhul kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid, tingimused ja vahendid koos teiste vastutavate töötlejatega või kui töötlemistoimingut teostatakse vastutava töötleja nimel.

(62) Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas järelevalveasutuste teostatava kontrolli ja võetavate meetmete korral nõuab vastutusvaldkondade selget jaotamist käesolevas määruses, seda ka juhul kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid koos teiste vastutavate töötlejatega või kui töötlemistoimingut teostatakse vastutava töötleja nimel. Kaasvastutavate töötlejate vaheline kord peaks kajastama kaasvastutavate töötlejate tegelikke rolle ja suhteid. Käesoleva määruse kohane isikuandmete töötlemine peaks hõlmama vastutavale töötlejale loa andmist andmete edastamiseks kaasvastutavale töötlejale või volitatud töötlejale andmete töötlemiseks nende nimel.

Muudatusettepanek  39

Ettepanek võtta vastu määrus

Põhjendus 63

Komisjoni ettepanek

Muudatusettepanek

(63) Kui väljaspool ELi asuv vastutav töötleja töötleb ELis elavate andmesubjektide isikuandmeid ja tema töötlemistoimingud on seotud kaupade või teenuste pakkumisega sellistele andmesubjektidele või nende käitumise jälgimisega, peaks vastutav töötleja nimetama esindaja, välja arvatud juhul, kui vastutav töötleja asub kolmandas riigis, mis tagab kaitse piisava taseme, vastutava töötleja on väike- või keskmise suurusega ettevõte, avaliku sektori asutus või organ või kui vastutav töötleja pakub sellistele andmesubjektidele kaupu või teenuseid ainult juhuti. Esindaja peaks tegutsema vastutava töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused.

(63) Kui väljaspool ELi asuv vastutav töötleja töötleb ELi andmesubjektide isikuandmeid, peaks vastutav töötleja nimetama esindaja, välja arvatud juhul, kui vastutav töötleja asub kolmandas riigis, mis tagab kaitse piisava taseme, või kui töötlemine on seotud vähem kui 5000 andmesubjektiga mis tahes järjestikuse 12kuulise ajavahemiku jooksul ning seda ei teostata isikuandmete eriliikide puhul, või kui vastutav töötleja on avaliku sektori asutus või organ või kui vastutav töötleja pakub sellistele andmesubjektidele kaupu või teenuseid ainult juhuti. Esindaja peaks tegutsema vastutava töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused.

Muudatusettepanek  40

Ettepanek võtta vastu määrus

Põhjendus 64

Komisjoni ettepanek

Muudatusettepanek

(64) Selleks et määrata kindlaks, kas vastutav töötleja pakub ELis elavatele andmesubjektidele kaupu ja teenuseid ainult juhuti, tuleks kontrollida, kas vastutava töötleja kogu tegevuse põhjal on ilmne, et sellistele andmesubjektidele kaupade ja teenuste pakkumine on tema kõrvaltegevus.

(64) Selleks et määrata kindlaks, kas vastutav töötleja pakub ELi andmesubjektidele kaupu ja teenuseid ainult juhuti, tuleks kontrollida, kas vastutava töötleja kogu tegevuse põhjal on ilmne, et sellistele andmesubjektidele kaupade ja teenuste pakkumine on tema kõrvaltegevus.

Muudatusettepanek  41

Ettepanek võtta vastu määrus

Põhjendus 65

Komisjoni ettepanek

Muudatusettepanek

(65) Käesoleva määruse täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja dokumenteerima iga töötlemistoimingu. Iga vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema nimetatud dokumendid taotluse korral kättesaadavaks, et neid saaks kasutada nimetatud töötlemistoimingute kontrollimiseks.

(65) Selleks et oleks võimalik tõendada käesoleva määruse täitmist, peaks vastutav töötleja või volitatud töötleja säilitama vajalikke dokumente, et täita käesoleva määrusega sätestatud nõudeid. Iga vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema nimetatud dokumendid taotluse korral kättesaadavaks, et neid saaks kasutada käesolevale määrusele vastavuse hindamiseks. Lisaks dokumentide koostamisele tuleks rõhutada ja tähtsustada ka häid tavasid ja nõuetele vastavust.

Muudatusettepanek  42

Ettepanek võtta vastu määrus

Põhjendus 66

Komisjoni ettepanek

Muudatusettepanek

(66) Turvalisuse tagamiseks ja käesoleva määruse vastase töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohte ja rakendama meetmeid asjaomaste riskide leevendamiseks. Võttes arvesse tehnika taset ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Töötlemise turvalisuse tagamiseks tehniliste standardite ja korralduslike meetmete kehtestamisel peaks komisjon edendama tehnoloogia neutraalsust, koostalitusvõimet ja innovatsiooni ning vajaduse korral koostööd kolmandate riikidega.

(66) Turvalisuse tagamiseks ja käesoleva määruse vastase töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohte ja rakendama meetmeid asjaomaste riskide leevendamiseks. Võttes arvesse tehnika taset ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Töötlemise turvalisuse tagamiseks tehniliste standardite ja korralduslike meetmete kehtestamisel tuleks edendada tehnoloogia neutraalsust, koostalitusvõimet ja innovatsiooni ning vajaduse korral tuleks ergutada koostööd kolmandate riikidega.

Muudatusettepanek  43

Ettepanek võtta vastu määrus

Põhjendus 67

Komisjoni ettepanek

Muudatusettepanek

(67) Isikuandmetega seotud rikkumisega võib asjaomasele üksikisikule kaasneda oluline majanduslik ja sotsiaalne kahju, sealhulgas identiteedipettus, kui sellega piisavalt ja õigeaegselt ei tegelda. Seetõttu niipea, kui vastutav töötleja sellise rikkumise toimumisest teada saab, peaks ta teatama rikkumisest viivitamata järelevalveasutusele, tehes seda võimaluse korral 24 tunni jooksul. Kui 24 tunni jooksul teatamine ei ole võimalik, tuleks lisada teatisele selle hilinemise põhjused. Üksikisikuid, kelle isikuandmeid rikkumine kahjustada võib, tuleks teavitada põhjendamatu viivituseta, et nad saaksid võtta vajalikke ettevaatusabinõusid. Rikkumist tuleks pidada andmesubjekti isikuandmeid ja eraelu puutumatust kahjustavaks juhul, kui selle tulemuseks võib olla isikuandmete vargus või pettus, füüsiline kahju, märkimisväärne alandamine või maine kahjustamine. Teatises tuleks kirjeldada isikuandmetega seotud rikkumise olemust, samuti tuleks anda asjaomasele üksikisikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teatis tuleks saata andmesubjektile nii kiiresti kui võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjakohaste asutuste (nt õiguskaitseasutuste) suunistest. Näiteks andmesubjekti võimalus vähendada kahju tekkimise otsest ohtu nõuab tema operatiivset teavitamist, samas kui võimalus rakendada asjakohaseid meetmeid isikuandmetega seonduvate jätkuvate või samalaadsete rikkumiste vastu võib õigustada pikemat tähtaega.

(67) Isikuandmetega seotud rikkumisega võib asjaomasele üksikisikule kaasneda oluline majanduslik ja sotsiaalne kahju, sealhulgas identiteedipettus, kui sellega piisavalt ja õigeaegselt ei tegelda. Seetõttu peaks vastutav töötleja teatama rikkumisest viivitamata järelevalveasutusele, mis peaks toimuma hiljemalt 72 tunni jooksul. Vajaduse korral tuleks teatisele lisada hilinemise põhjused. Üksikisikuid, kelle isikuandmeid rikkumine kahjustada võib, tuleks teavitada põhjendamatu viivituseta, et nad saaksid võtta vajalikke ettevaatusabinõusid. Rikkumist tuleks pidada andmesubjekti isikuandmeid ja eraelu puutumatust kahjustavaks juhul, kui selle tulemuseks võib olla isikuandmete vargus või pettus, füüsiline kahju, märkimisväärne alandamine või maine kahjustamine. Teatises tuleks kirjeldada isikuandmetega seotud rikkumise olemust, samuti tuleks anda asjaomasele üksikisikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teatis tuleks saata andmesubjektile nii kiiresti kui võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjakohaste asutuste (nt õiguskaitseasutuste) suunistest. Näiteks andmesubjekti võimalus vähendada kahju tekkimise otsest ohtu nõuab tema operatiivset teavitamist, samas kui võimalus rakendada asjakohaseid meetmeid isikuandmetega seonduvate jätkuvate või samalaadsete rikkumiste vastu võib õigustada pikemat tähtaega.

Muudatusettepanek  44

Ettepanek võtta vastu määrus

Põhjendus 71 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(71 a) Mõjuhinnangud moodustavad igasuguse jätkusuutliku andmetöötlusraamistiku tuuma ning tagavad, et ettevõtted on algusest peale teadlikud oma andmetöötlustoimingute kõigist võimalikest tagajärgedest. Põhjalike mõjuhinnangutega on võimalik andmetega seotud rikkumisi või privaatsusesse tungimise toiminguid täielikult piirata. Isikuandmete kaitse alane mõjuhinnang peaks seega arvesse võtma tervet isikuandmete korraldamise olelusringi, alates andmete kogumisest ja andmete töötlemisest kuni nende kustutamiseni, kirjeldades üksikasjalikult kavandatud töötlemistoiminguid, riske andmesubjektide õigustele ja vabadustele, kavandatavaid riskiga tegelemise meetmeid, kaitse- ning turvameetmeid ja mehhanisme, et tagada käesoleva määruse täitmine.

Muudatusettepanek  45

Ettepanek võtta vastu määrus

Põhjendus 71 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(71 b) Vastutavad töötlejad peaksid keskenduma isikuandmete kaitsele andmete kogu olelusringi kestel, nende kogumisest töötlemise ja hävitamiseni, panustades algusest peale jätkusuutliku andmehalduse raamistikku ja täiendades seda põhjaliku täitmismehhanismiga.

Muudatusettepanek  46

Ettepanek võtta vastu määrus

Põhjendus 73

Komisjoni ettepanek

Muudatusettepanek

(73) Kui isikuandmete kaitse alaseid mõjuhinnanguid ei ole koostatud juba selliste siseriiklike õigusaktide vastuvõtmisel, millele avaliku sektori asutuse või organi ülesannete täitmine tugineb ja millega reguleeritakse kõnealuseid konkreetseid töötlustoiminguid või nende kogumit, peaks avaliku sektori asutus või organ koostama sellise mõjuhinnangu.

välja jäetud

Muudatusettepanek  47

Ettepanek võtta vastu määrus

Põhjendus 74

Komisjoni ettepanek

Muudatusettepanek

(74) Kui isikuandmete kaitse alasest mõjuhinnangust ilmneb, et töötlemistoimingud või konkreetse uue tehnoloogia kasutuselevõtt on seotud mitmete konkreetsete ohtudega andmesubjektide õigustele ja vabadustele, näiteks jättes üksikisikud ilma nende õigustest, konsulteeritakse enne tegevuse alustamist järelevalveasutusega ohtliku töötlemise asjus, mis ei pruugi käesoleva määrusega kooskõlas olla, ning tegemaks ettepanekuid sellise olukorra lahendamiseks. Selline konsulteerimine peaks toimuma ka siis, kui valmistatakse ette kas liikmesriigi parlamendi meedet või sellisel õigusaktil põhinevat meedet, millega määratakse kindlaks töötlemise laad ja nähakse ette vajalikud kaitsemeetmed.

(74) Kui isikuandmete kaitse alasest mõjuhinnangust ilmneb, et töötlemistoimingud või konkreetse uue tehnoloogia kasutuselevõtt on seotud mitmete konkreetsete ohtudega andmesubjektide õigustele ja vabadustele, näiteks jättes üksikisikud ilma nende õigustest, konsulteeritakse enne tegevuse alustamist andmekaitseametniku või järelevalveasutusega ohtliku töötlemise asjus, mis ei pruugi käesoleva määrusega kooskõlas olla, ning tegemaks ettepanekuid sellise olukorra lahendamiseks. Järelevalveasutusega konsulteerimine peaks toimuma ka siis, kui valmistatakse ette kas liikmesriigi parlamendi meedet või sellisel õigusaktil põhinevat meedet, millega määratakse kindlaks töötlemise laad ja nähakse ette vajalikud kaitsemeetmed.

Muudatusettepanek  48

Ettepanek võtta vastu määrus

Põhjendus 74 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(74 a) Mõjuhinnangutest on kasu vaid siis, kui vastutavad töötlejad tagavad neis algselt antud lubaduste täitmise. Vastutavad töötlejad peaksid seega korrapäraselt viima läbi andmekaitse vastavuse kontrolle, et näidata, et olemasolevad andmetöötlemise mehhanismid vastavad isikuandmete kaitse alases mõjuhinnangus püstitatud lubadustele. Samuti peaks see näitama vastutava töötleja suutlikkust austada andmesubjektide iseseisvaid otsuseid. Kui kontrolli käigus leitakse vastavuses ebakõlasid, tuleks need esile tuua ning esitada soovitusi täieliku vastavuse saavutamiseks.

Muudatusettepanek  49

Ettepanek võtta vastu määrus

Põhjendus 75

Komisjoni ettepanek

Muudatusettepanek

(75) Kui töötlemine toimub avalikus sektoris või erasektoris suurettevõtte poolt või kui ettevõtte põhitegevus, olenemata tema suurusest, hõlmab töötlustoiminguid, mis nõuavad regulaarset ja süstemaatilist järelevalvet, peaks vastutavat töötlejat või volitatud töötlejat abistama isik, kes kontrollib käesoleva määruse täitmist asutuse poolt. Sellistel andmekaitseametnikel, olgu nad siis vastutava töötleja töövõtjad või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatult.

(75) Kui töötlemine toimub avalikus sektoris või erasektoris ja puudutab enam kui 5000 andmesubjekti 12 kuu jooksul või kui ettevõtte põhitegevus, olenemata tema suurusest, hõlmab tundlikke andmeid puudutavaid töötlustoiminguid või töötlustoiminguid, mis nõuavad regulaarset ja süstemaatilist järelevalvet, peaks vastutavat töötlejat või volitatud töötlejat abistama isik, kes kontrollib käesoleva määruse täitmist asutuse poolt. Selle kindlakstegemisel, kas töödeldakse andmeid suure arvu andmesubjektide kohta, ei tohiks arvesse võtta arhiveeritud andmeid, mis on piiratud selliselt, et vastutav töötleja ei saa tavapärasel viisil nendega tutvuda ega teha nendega töötlemistoiminguid, ning mida ei saa enam muuta. Sellistel andmekaitseametnikel, olgu nad siis vastutava töötleja töövõtjad või mitte ja täitku nad seda ülesannet täiskoormusega või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatult ning nad peaksid olema eriliselt kaitstud vallandamise eest. Lõplik vastutus peaks lasuma organisatsiooni juhtkonnal. Andmekaitseametnik peab isikuandmete automaatseks töötlemiseks mõeldud süsteemide kavandamise, hankimise, arendamise ja paigaldamise eelnevalt läbi arutama kavandatud ja ettenähtud isikuandmete kaitse tagamiseks.

Muudatusettepanek  50

Ettepanek võtta vastu määrus

Põhjendus 75 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(75 a) Andmekaitseametnikul peaksid olema vähemalt järgmised kutseoskused: laialdased teadmised isikuandmete kaitse alaste õigusaktide sisust ja kohaldamisest, sealhulgas tehnilised ja organisatsioonilised meetmed; andmekaitse ja andmete turvalisusega seotud tehniliste nõudmiste alane kogemus; valdkonnaspetsiifilised teadmised vastavalt andmetöötluse mahule ja töödeldavate andmete delikaatsusele; võime kontrollida, konsulteerida, dokumenteerida ja logifaili analüüsida; oskus teha koostööd töötajate esindajatega. Vastutav töötleja peaks võimaldama andmekaitseametnikul osaleda täiendõppes, et alal hoida tema ülesannete täitmiseks vajalikke eriteadmisi. Andmekaitseametniku määramine ei eelda asjaomaselt töötajalt tingimata täiskohaga tööd.

Muudatusettepanek  51

Ettepanek võtta vastu määrus

Põhjendus 76

Komisjoni ettepanek

Muudatusettepanek

(76) Vastutavate töötlejate eri kategooriaid esindavaid ühendusi ja muid organeid tuleks kutsuda üles koostama käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse konkreetsetes sektorites toimuva töötlemise eriomadusi.

(76) Vastutavate töötlejate eri kategooriaid esindavaid ühendusi ja muid organeid tuleks kutsuda üles koostama pärast töötajate esindajatega konsulteerimist käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse konkreetsetes sektorites toimuva töötlemise eriomadusi. Sellised juhendid peaksid tegema käesoleva määruse nõuete järgimise majandusharu jaoks lihtsamaks.

Muudatusettepanek  52

Ettepanek võtta vastu määrus

Põhjendus 77

Komisjoni ettepanek

Muudatusettepanek

(77) Selleks et parandada läbipaistvust ja käesoleva määruse järgimist, tuleks soodustada sertifitseerimismehhanismide, isikuandmete kaitse pitserite ja märgiste kehtestamist, mis annavad andmesubjektidele võimaluse kiiresti hinnata asjakohaste toodete ja teenuste isikuandmete kaitse taset.

(77) Selleks et parandada läbipaistvust ja käesoleva määruse järgimist, tuleks soodustada sertifitseerimismehhanismide, isikuandmete kaitse pitserite ja standarditud märgiste kehtestamist, mis annavad andmesubjektidele võimaluse kiiresti, usaldusväärselt ja kontrollitavalt hinnata asjakohaste toodete ja teenuste isikuandmete kaitse taset. Euroopa tasandil tuleks luua märgis „Euroopa isikuandmete kaitse pitser”, et äratada andmesubjektides usaldust, pakkuda vastutavatele töötlejatele õiguskindlust ja samal ajal eksportida Euroopa andmekaitsestandardeid, võimaldades Euroopa-välistel ettevõtetel siseneda kergemini Euroopa turgudele, kui nad on sertifitseeritud.

Muudatusettepanek  53

Ettepanek võtta vastu määrus

Põhjendus 79

Komisjoni ettepanek

Muudatusettepanek

(79) Käesolev määrus ei piira ELi ja kolmandate riikide vahel sõlmitud selliste rahvusvaheliste lepingute kohaldamist, millega reguleeritakse isikuandmete edastamist, sealhulgas asjakohaseid andmesubjektide kaitsmise meetmeid.

(79) Käesolev määrus ei piira ELi ja kolmandate riikide vahel sõlmitud selliste rahvusvaheliste lepingute kohaldamist, millega reguleeritakse isikuandmete edastamist, sealhulgas asjakohaseid andmesubjektide kaitsmise meetmeid, mis tagavad kodanike põhiõiguste kaitse piisava taseme.

Muudatusettepanek  54

Ettepanek võtta vastu määrus

Põhjendus 80

Komisjoni ettepanek

Muudatusettepanek

(80) Komisjon võib terve ELi osas otsustada, et teatavad kolmandad riigid, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon pakub isikuandmete kaitset piisaval tasemel, tagades seega terves ELis õiguskindluse ja ühtsuse seoses kolmandate riikide ja rahvusvaheliste organisatsioonidega, mis tagavad isikuandmete kaitse piisava taseme. Sellisel juhul võib isikuandmeid kõnealustesse riikidesse edastada ilma täiendava loata.

(80) Komisjon võib terve ELi osas otsustada, et teatavad kolmandad riigid, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon pakub isikuandmete kaitset piisaval tasemel, tagades seega terves ELis õiguskindluse ja ühtsuse seoses kolmandate riikide ja rahvusvaheliste organisatsioonidega, mis tagavad isikuandmete kaitse piisava taseme. Komisjon võib ühtlasi otsustada, olles teavitanud kolmandat riiki ja andnud sellele täieliku põhjenduse, sellise otsuse tagasi võtta.

Muudatusettepanek  55

Ettepanek võtta vastu määrus

Põhjendus 82

Komisjoni ettepanek

Muudatusettepanek

(82) Samuti võib komisjon tunnistada, et kolmas riik, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon ei paku isikuandmete kaitset piisaval tasemel. Sellest tulenevalt peaks olema keelatud isikuandmete edastamine kõnealusele kolmandale riigile. Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni konsultatsioonid.

(82) Samuti võib komisjon tunnistada, et kolmas riik, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon ei paku isikuandmete kaitset piisaval tasemel. Selliseid seadusandlikke akte, millega nähakse ette piiriülene juurdepääs liidus töödeldud isikuandmetele ilma liidu või liikmesriigi õiguse kohase loata, tuleks käsitada piisavuse puudumise märgina. Sellest tulenevalt peaks olema keelatud isikuandmete edastamine kõnealusele kolmandale riigile. Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni konsultatsioonid.

Muudatusettepanek  56

Ettepanek võtta vastu määrus

Põhjendus 83

Komisjoni ettepanek

Muudatusettepanek

(83) Kaitse piisavust käsitleva otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et tasakaalustada kolmanda riigi isikuandmete kaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad ettevõtluseeskirjad, komisjoni vastu võetud standardsed isikuandmete kaitse klauslid, järelevalveasutuse vastu võetud standardsed isikuandmete kaitse klauslid, järelevalveasutuse heaks kiidetud lepingusätted ning muud kohased ja proportsionaalsed meetmed, mis on põhjendatud andmete edastamise toimingu(te) kõigi asjaoludega ja mille järelevalveasutus on heaks kiitnud.

(83) Kaitse piisavust käsitleva otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et tasakaalustada kolmanda riigi isikuandmete kaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad ettevõtluseeskirjad, komisjoni vastu võetud standardsed isikuandmete kaitse klauslid, järelevalveasutuse vastu võetud standardsed isikuandmete kaitse klauslid või järelevalveasutuse heaks kiidetud lepingusätted. Need asjakohased kaitsemeetmed peaksid tagama sellise austuse andmesubjektide õiguste vastu, mis on samaväärne ELi-siseses andmetöötluses kehtivaga, eriti seoses eesmärgi piiritlemisega, õigusega andmetega tutvumisele, nende muutmisele, kustutamisele ning nõuda hüvitist. Need kaitsemeetmed peaksid eelkõige tagama isikuandmete töötlemise põhimõtete järgimise, kaitsma andmesubjektide õigusi ning nägema ette tulemuslikud kahju hüvitamise mehhanismid, tagama isikuandmete lõimitud ja vaikimisi kaitse põhimõtete järgimise, tagama andmekaitseametniku olemasolu.

Muudatusettepanek  57

Ettepanek võtta vastu määrus

Põhjendus 84

Komisjoni ettepanek

Muudatusettepanek

(84) Vastutavale töötlejale ja volitatud töötlejale antud võimalus kasutada komisjoni või järelevalveasutuse vastu võetud standardseid isikuandmete kaitse klausleid ei tohiks välistada vastutava töötleja ja volitatud töötleja võimalust lisada standardsed isikuandmete kaitse klauslid põhjalikumasse lepingusse ega võimalust lisada muid sätteid, kui need ei lähe otseselt ega kaudselt vastuollu komisjoni või järelevalveasutuse vastu võetud standardsete isikuandmete kaitse klauslitega ega piira andmesubjektide põhiõigusi ja -vabadusi.

(84) Vastutavale töötlejale ja volitatud töötlejale antud võimalus kasutada komisjoni või järelevalveasutuse vastu võetud standardseid isikuandmete kaitse klausleid ei tohiks välistada vastutava töötleja ja volitatud töötleja võimalust lisada standardsed isikuandmete kaitse klauslid põhjalikumasse lepingusse ega võimalust lisada muid sätteid või täiendavaid kaitsemeetmeid, kui need ei lähe otseselt ega kaudselt vastuollu järelevalveasutuse vastu võetud standardsete isikuandmete kaitse klauslitega ega piira andmesubjektide põhiõigusi ja -vabadusi. Komisjoni poolt vastu võetud isikuandmete kaitse standardklauslid võiksid hõlmata eri olukordi, nimelt Euroopa Liidus asutatud volitatud töötlejate andmeedastusi väljaspool Euroopa Liitu asutatud volitatud töötlejatele ning Euroopa Liidus asutatud volitatud töötlejatelt väljaspool Euroopa Liitu asutatud vastutavatele töötlejatele, sh alltöötlejatele. Vastutavaid töötlejaid ja volitatud töötlejaid tuleks ergutada nägema ette tõhusamaid kaitsemeetmeid täiendavate lepinguliste kohustuste abil, mis täiendavad standardseid kaitseklausleid.

Muudatusettepanek  58

Ettepanek võtta vastu määrus

Põhjendus 85

Komisjoni ettepanek

Muudatusettepanek

(85) Kontsern peaks saama andmete rahvusvahelise edastamise korral EList samasse kontserni kuuluvatele organisatsioonidele kasutada heakskiidetud siduvaid ettevõtluseeskirju, kui sellised eeskirjad hõlmavad olulisi põhimõtteid ja kohtulikult kaitstavaid õigusi, et tagada sobivad kaitsemeetmed isikuandmete edastamise eri liikide puhul.

(85) Kontsern peaks saama andmete rahvusvahelise edastamise korral EList samasse kontserni kuuluvatele organisatsioonidele kasutada heakskiidetud siduvaid ettevõtluseeskirju, kui sellised eeskirjad hõlmavad kõiki olulisi põhimõtteid ja kohtulikult kaitstavaid õigusi, et tagada sobivad kaitsemeetmed isikuandmete edastamise eri liikide puhul.

Muudatusettepanek  59

Ettepanek võtta vastu määrus

Põhjendus 86

Komisjoni ettepanek

Muudatusettepanek

(86) Andmete edastamine peaks olema võimalik teatavatel asjaoludel, kui andmesubjekt on andnud oma nõusoleku, kui edastamine on vajalik seoses lepingu või kohtumenetlusega, kui seda nõuab ELi või liikmesriikide õiguses sätestatud kaalukas avalik huvi või kui edastatakse seadusega loodud ja avalikkusele või kõigile õigustatud huviga isikutele tutvumiseks avatud registrist pärinevaid andmeid. Viimati nimetatud juhul ei tohiks edastada kõiki andmeid ega registris sisalduvate andmete kõiki liike ja juhul, kui register on mõeldud tutvumiseks õigustatud huviga isikutele, tuleks andmed edastada ainult kõnealuste isikute taotluse korral või juhul, kui nemad on andmete vastuvõtjad.

(86) Andmete edastamine peaks olema võimalik teatavatel asjaoludel, kui andmesubjekt on andnud oma nõusoleku, kui edastamine on vajalik seoses lepingu või kohtumenetlusega, kui seda nõuab ELi või liikmesriikide õiguses sätestatud kaalukas avalik huvi või kui edastatakse seadusega loodud ja avalikkusele või kõigile õigustatud huviga isikutele tutvumiseks avatud registrist pärinevaid andmeid. Viimati nimetatud juhul ei tohiks edastada kõiki andmeid ega registris sisalduvate andmete kõiki liike ja juhul, kui register on mõeldud tutvumiseks õigustatud huviga isikutele, tuleks andmed edastada ainult kõnealuste isikute taotluse korral või juhul, kui nemad on andmete vastuvõtjad, võttes täielikult arvesse andmesubjekti huve ja põhiõigusi.

Muudatusettepanek  60

Ettepanek võtta vastu määrus

Põhjendus 87

Komisjoni ettepanek

Muudatusettepanek

(87) Nimetatud erandid on asjakohased eelkõige selliste andmeedastustoimingute puhul, mis on vajalikud kaaluka avaliku huvi kaitsmiseks, näiteks andmete rahvusvahelisel edastamisel konkurentsi-, maksu- ja tolli-, finantsjärelevalve-, sotsiaalkindlustus- ning kuritegude tõkestamises, uurimises, avastamises või kuritegude eest vastutusele võtmises pädevate asutuste vahel.

(87) Nimetatud erandid on asjakohased eelkõige selliste andmeedastustoimingute puhul, mis on vajalikud kaaluka avaliku huvi kaitsmiseks, näiteks andmete rahvusvahelisel edastamisel konkurentsi-, maksu- ja tolli-, finantsjärelevalveasutuste, sotsiaalkindlustuse ja rahvatervise valdkonnas pädevate asutuste ning kuritegude tõkestamises, uurimises, avastamises või kuritegude eest vastutusele võtmises, sealhulgas rahapesu ja terrorismi rahastamise tõkestamises pädevate asutuste vahel. Isikuandmete edastamist tuleks pidada seaduslikuks ka siis, kui see on vajalik andmesubjekti või muu isiku eluliste huvide kaitsmiseks, kui andmesubjekt ei ole võimeline nõusolekut andma. Isikuandmete edastamist sellistel olulistel avaliku huvi põhjustel tuleks kasutada ainult juhuslike edastamiste puhul. Igal üksikul juhul tuleb hoolikalt kaaluda kõiki edastamise asjaolusid.

Muudatusettepanek  61

Ettepanek võtta vastu määrus

Põhjendus 88

Komisjoni ettepanek

Muudatusettepanek

(88) Edastamine, mida ei saa pidada sagedaseks ega mahukaks, võib samuti toimuda vastutava töötleja või volitatud töötleja õigustatud huvides, kui ta on hinnanud andmeedastustoimingu kõiki asjaolusid. Isikuandmete töötlemise korral ajaloo- või statistikauurimuste ning teadustöö eesmärgil tuleks arvesse võtta ühiskonna õiguspäraseid ootusi laialdasemate teadmiste osas.

Isikuandmete töötlemise korral ajaloo- või statistikauurimuste ning teadustöö eesmärgil tuleks arvesse võtta ühiskonna õiguspäraseid ootusi laialdasemate teadmiste osas.

Muudatusettepanek  62

Ettepanek võtta vastu määrus

Põhjendus 89

Komisjoni ettepanek

Muudatusettepanek

(89) Kõigil juhtudel, kui komisjon ei ole teinud otsust kolmanda riigi isikuandmete kaitse taseme piisavuse kohta, peaks vastutav töötleja või volitatud töötleja kasutama lahendusi, mis annavad andmesubjektidele tagatise, et neil on pärast neid käsitlevate andmete edastamist samad põhiõigused ja nende suhtes kohaldatakse samu kaitsemeetmeid, kui andmete töötlemise korral liidus.

(89) Kõigil juhtudel, kui komisjon ei ole teinud otsust kolmanda riigi isikuandmete kaitse taseme piisavuse kohta, peaks vastutav töötleja või volitatud töötleja kasutama lahendusi, mis annavad andmesubjektidele õiguslikult siduva tagatise, et neil on pärast neid käsitlevate andmete edastamist samad põhiõigused ja nende suhtes kohaldatakse samu kaitsemeetmeid kui andmete töötlemise korral liidus, tingimusel et töötlemine ei ole massiline, korduv ega struktuuriline. Tagatise alla peaks kuuluma rahaline hüvitamine kahju kannatamise või loata andmetega tutvumise või nende töötlemise korral ning siseriiklikest õigusaktidest olenemata kohustus esitada kõik üksikasjad iga korra kohta, mil andmetega on tutvunud kolmanda riigi avaliku sektori asutused.

Muudatusettepanek  63

Ettepanek võtta vastu määrus

Põhjendus 90

Komisjoni ettepanek

Muudatusettepanek

(90) Mõned kolmandad riigid kehtestavad seadused, määrused ja muud õigusaktid, millega vahetult reguleeritakse liikmesriikide jurisdiktsiooni alla kuuluvate füüsiliste ja juriidiliste isikute andmetöötlustoiminguid. Nende seaduste, määruste ja muude õigusaktide kohaldamine väljaspool asjaomase kolmanda riigi territooriumi võib olla vastuolus rahvusvahelise õigusega ning takistada ELis käesoleva määrusega tagatud üksikisikute kaitse taseme saavutamist. Edastamine peaks olema lubatud ainult juhul, kui on täidetud käesoleva määruse tingimused kolmandatesse riikidesse edastamise kohta. Nii võib see olla muu hulgas siis, kui avaldamine on vajalik kaaluka avaliku huvi tõttu, mis on sätestatud kas ELi või liikmesriigi õiguses, mida vastutava töötleja suhtes kohaldatakse. Komisjon peaks täpsustama kaaluka avaliku huvi esinemise tingimusi delegeeritud õigusaktiga.

(90) Mõned kolmandad riigid kehtestavad seadused, määrused ja muud õigusaktid, millega vahetult reguleeritakse liikmesriikide jurisdiktsiooni alla kuuluvate füüsiliste ja juriidiliste isikute andmetöötlustoiminguid. Nende seaduste, määruste ja muude õigusaktide kohaldamine väljaspool asjaomase kolmanda riigi territooriumi võib olla vastuolus rahvusvahelise õigusega ning takistada ELis käesoleva määrusega tagatud üksikisikute kaitse taseme saavutamist. Edastamine peaks olema lubatud ainult juhul, kui on täidetud käesoleva määruse tingimused kolmandatesse riikidesse edastamise kohta. Nii võib see olla muu hulgas siis, kui avaldamine on vajalik kaaluka avaliku huvi tõttu, mis on sätestatud kas ELi või liikmesriigi õiguses, mida vastutava töötleja suhtes kohaldatakse. Komisjon peaks täpsustama kaaluka avaliku huvi esinemise tingimusi delegeeritud õigusaktiga. Juhtudel, kui vastutavad töötlejad või volitatud töötlejad seisavad silmitsi vastuoluliste vastavuse nõuetega ühelt poolt liidu jurisdiktsiooni ning teiselt poolt kolmanda riigi jurisdiktsiooni vahel, peab komisjon tagama, et liidu õigus oleks alati ülimuslik. Komisjon peaks pakkuma vastutavale töötlejale ja volitatud töötlejale suuniseid ja abi ning püüdma lahendada jurisdiktsiooni konflikte kõnealuse kolmanda riigiga.

Muudatusettepanek  64

Ettepanek võtta vastu määrus

Põhjendus 92

Komisjoni ettepanek

Muudatusettepanek

(92) Liikmesriikides täiesti sõltumatult oma tööülesandeid täitvate järelevalveasutuste loomine on oluline tegur üksikisikute kaitsmisel seoses nende isikuandmete töötlemisega. Liikmesriik võib luua mitu järelevalveasutust, et arvestada nende põhiseaduslikku, organisatsioonilist ja haldusstruktuuri.

(92) Liikmesriikides täiesti sõltumatult oma tööülesandeid täitvate järelevalveasutuste loomine on oluline tegur üksikisikute kaitsmisel seoses nende isikuandmete töötlemisega. Liikmesriik võib luua mitu järelevalveasutust, et arvestada nende põhiseaduslikku, organisatsioonilist ja haldusstruktuuri. Asutusel on piisav personal ja piisavad rahalised vahendid oma rolli täielikuks täitmiseks, võttes arvesse elanikkonna suurust ja töödeldavate isikuandmete kogust.

Muudatusettepanek  65

Ettepanek võtta vastu määrus

Põhjendus 94

Komisjoni ettepanek

Muudatusettepanek

(94) Igale järelevalveasutusele tuleks anda piisavad rahalised ja inimressursid, hooned ja infrastruktuur, mis on vajalikud nende ülesannete, sealhulgas terve ELi järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks.

(94) Igale järelevalveasutusele tuleks anda piisavad rahalised ja inimressursid, pöörates erilist tähelepanu personali piisavate tehniliste ja õigusalaste oskuste, hoonete ja infrastruktuuri tagamisele, mis on vajalikud nende ülesannete, sealhulgas terve ELi järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks.

Muudatusettepanek  66

Ettepanek võtta vastu määrus

Põhjendus 95

Komisjoni ettepanek

Muudatusettepanek

(95) Järelevalveasutuse liikmetele esitatavad üldtingimused tuleks kehtestada igas liikmesriigis seadusega ning eelkõige tuleks ette näha see, et liikmed peaks ametisse nimetama kas liikmesriigi parlament või valitsus, ning eeskirjad liikmete isikliku kvalifikatsiooni ja ametiseisundi kohta.

(95) Järelevalveasutuse liikmetele esitatavad üldtingimused tuleks kehtestada igas liikmesriigis seadusega ning eelkõige tuleks ette näha see, et liikmed peaks ametisse nimetama liikmesriigi parlament või valitsus, hoolitsedes nõuetekohaselt selle eest, et viia miinimumini poliitilise sekkumise võimalus, ning eeskirjad liikmete isikliku kvalifikatsiooni, huvide konfliktide vältimise ja ametiseisundi kohta.

Muudatusettepanek  67

Ettepanek võtta vastu määrus

Põhjendus 97

Komisjoni ettepanek

Muudatusettepanek

(97) Kui ELis asuva vastutava töötleja või volitatud töötleja tegevuse raames töödeldakse isikuandmeid mitmes liikmesriigis, peaks kontrollima vastutava töötleja või volitatud töötleja tervet ELi hõlmavat tegevust ja võtma vastu seonduvad otsused üks järelevalveasutus, et parandada kohaldamise järjepidevust, õiguskindlust ja vähendada asjaomaste vastutavate töötlejate ja volitatud töötlejate halduskoormust.

(97) Kui ELis asuva vastutava töötleja või volitatud töötleja tegevuse raames töödeldakse isikuandmeid mitmes liikmesriigis, peaks vastutava töötleja või volitatud töötleja tervet ELi hõlmava tegevuse ühtse kontaktpunktina ja nende järelevalve eest vastutava juhtiva asutusena tegutsema ja võtma vastu seonduvad otsused üks järelevalveasutus, et parandada kohaldamise järjepidevust, õiguskindlust ja vähendada asjaomaste vastutavate töötlejate ja volitatud töötlejate halduskoormust.

Muudatusettepanek  68

Ettepanek võtta vastu määrus

Põhjendus 98

Komisjoni ettepanek

Muudatusettepanek

(98) Selliseks ühtseks kontaktpunktiks olev pädev asutus on selle liikmesriigi järelevalveasutus, kus on vastutava töötleja või volitatud töötleja peamine tegevuskoht.

(98) Selliseks ühtseks kontaktpunktiks olev juhtiv asutus on selle liikmesriigi järelevalveasutus, kus on vastutava töötleja või volitatud töötleja peamine tegevuskoht või esindaja. Teatud juhtudel võib pädeva asutuse taotlusel määrata juhtiva asutuse järjepidevuse mehhanismi abil Euroopa Andmekaitsenõukogu.

Muudatusettepanek  69

Ettepanek võtta vastu määrus

Põhjendus 98 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(98 a) Andmesubjektid, kelle isikuandmeid töötleb teise liikmesriigi vastutav töötleja või volitatud töötleja, peaksid saama esitada kaebuse oma valitud järelevalveasutusele. Juhtiv andmekaitseasutus peaks koordineerima oma tööd teiste asjaomaste asutustega.

Muudatusettepanek  70

Ettepanek võtta vastu määrus

Põhjendus 101

Komisjoni ettepanek

Muudatusettepanek

(101) Iga järelevalveasutus peaks võtma vastu andmesubjekti esitatud kaebuse ja küsimust uurima. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemus peaks olema võimalik kohtulikult läbi vaadata. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile.

(101) Iga järelevalveasutus peaks võtma vastu andmesubjekti või avalikes huvides tegutseva ühenduse esitatud kaebuse ja küsimust uurima. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemus peaks olema võimalik kohtulikult läbi vaadata. Järelevalveasutus peaks teavitama andmesubjekti või ühendust kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile.

Muudatusettepanek  71

Ettepanek võtta vastu määrus

Põhjendus 105

Komisjoni ettepanek

Muudatusettepanek

(105) Selleks et tagada käesoleva määruse ühtne kohaldamine terves ELis, tuleks kehtestada järelevalveasutuste vaheliseks ja komisjoniga tehtavaks koostööks järjepidevuse mehhanism. Kõnealust mehhanismi tuleks kohaldada eelkõige siis, kui järelevalveasutus kavatseb võtta meetmeid seoses töötlustoimingutega, mis on seotud kaupade või teenuste pakkumisega mitmes liikmesriigis asuvatele andmesubjektidele või selliste andmesubjektide jälgimisega või mis võivad oluliselt mõjutada isikuandmete vaba liikumist. Mehhanismi tuleks kohaldada ka siis, kui mis tahes järelevalveasutus või komisjon taotleb küsimuse käsitlemist järjepidevuse mehhanismi raames. Nimetatud mehhanism ei tohi piirata mis tahes meedet, mida komisjon võib võtta oma aluslepingutest tulenevate volituste kasutamisel.

(105) Selleks et tagada käesoleva määruse ühtne kohaldamine terves ELis, tuleks kehtestada järelevalveasutuste vaheliseks ja komisjoniga tehtavaks koostööks järjepidevuse mehhanism. Kõnealust mehhanismi tuleks kohaldada eelkõige siis, kui järelevalveasutus kavatseb võtta meetmeid seoses töötlustoimingutega, mis on seotud kaupade või teenuste pakkumisega mitmes liikmesriigis asuvatele andmesubjektidele või selliste andmesubjektide jälgimisega või mis võivad oluliselt mõjutada isikuandmete vaba liikumist. Mehhanismi tuleks kohaldada ka siis, kui mis tahes järelevalveasutus või komisjon taotleb küsimuse käsitlemist järjepidevuse mehhanismi raames. Seejuures peaks olema andmesubjektil õigus järjepidevusele, kui ta leiab, et liikmesriigi andmekaitseasutus ei ole täitnud seda kriteeriumit. Nimetatud mehhanism ei tohi piirata mis tahes meedet, mida komisjon võib võtta oma aluslepingutest tulenevate volituste kasutamisel.

Muudatusettepanek 72

Ettepanek võtta vastu määrus

Põhjendus 106 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(106 a) Käesoleva määruse järjepideva kohaldamise tagamiseks võib Euroopa Andmekaitsenõukogu võtta üksikjuhtudel vastu otsuse, mis on pädevate järelevalveasutuste jaoks siduv.

Muudatusettepanek  73

Ettepanek võtta vastu määrus

Põhjendus 107

Komisjoni ettepanek

Muudatusettepanek

(107) Selleks et tagada käesoleva määruse järgimine, võib komisjon vastu võtta käesolevat valdkonda käsitleva arvamuse või otsuse, mille alusel peab järelevalveasutus oma kavandatava meetme peatama.

välja jäetud

Muudatusettepanek  74

Ettepanek võtta vastu määrus

Põhjendus 110

Komisjoni ettepanek

Muudatusettepanek

(110) ELi tasandil tuleks luua Euroopa Andmekaitsenõukogu. See peaks asendama direktiivi 95/46/EÜ alusel loodud töörühma üksikisikute kaitseks seoses isikuandmete töötlemisega. Sinna peaksid kuuluma iga liikmesriigi järelevalveasutuse juht ja Euroopa andmekaitseinspektor. Komisjon peaks osalema nõukogu tegevuses. Euroopa Andmekaitsenõukogu peaks aitama kaasa käesoleva määruse ühtsele kohaldamine terves ELis, sealhulgas nõustades komisjoni ja edendades järelevalveasutuste koostööd terves ELis. Euroopa Andmekaitsenõukogu peaks täitma oma ülesandeid sõltumatult.

(110) ELi tasandil tuleks luua Euroopa Andmekaitsenõukogu. See peaks asendama direktiivi 95/46/EÜ alusel loodud töörühma üksikisikute kaitseks seoses isikuandmete töötlemisega. Sinna peaksid kuuluma iga liikmesriigi järelevalveasutuse juht ja Euroopa andmekaitseinspektor. Euroopa Andmekaitsenõukogu peaks aitama kaasa käesoleva määruse ühtsele kohaldamisele terves ELis, sealhulgas nõustades liidu institutsioone ja edendades järelevalveasutuste koostööd terves ELis, kaasa arvatud ühisoperatsioonide kooskõlastatust. Euroopa Andmekaitsenõukogu peaks täitma oma ülesandeid sõltumatult. Euroopa Andmekaitsenõukogu peaks tugevdama dialoogi selliste asjaomaste sidusrühmade nagu andmesubjektide liitude, tarbijaorganisatsioonide, vastutavate töötlejate ning muude asjakohaste sidusrühmade ja asjatundjatega.

Muudatusettepanek  75

Ettepanek võtta vastu määrus

Põhjendus 111

Komisjoni ettepanek

Muudatusettepanek

(111) Igal andmesubjektil peaks olema õigus esitada kaebus ükskõik millise liikmesriigi järelevalveasutusele ja õigus õiguskaitsevahendile, kui ta on seisukohal, et tema käesolevast määrusest tulenevaid õigusi on rikutud, või kui järelevalveasutus ei reageeri kaebusele ega võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks.

(111) Andmesubjektidel peaks olema õigus esitada kaebus ükskõik millise liikmesriigi järelevalveasutusele ja õigus tõhusale õiguskaitsevahendile kooskõlas põhiõiguste harta artikliga 47, kui nad on seisukohal, et nende käesolevast määrusest tulenevaid õigusi on rikutud, või kui järelevalveasutus ei reageeri kaebusele ega võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks.

Muudatusettepanek  76

Ettepanek võtta vastu määrus

Põhjendus 112

Komisjoni ettepanek

Muudatusettepanek

(112) Mis tahes asutusel, organisatsioonil või ühingul, mille eesmärk on kaitsta andmesubjektide andmete kaitsega seonduvaid õigusi ja huve ja mis on loodud liikmesriigi õigusakti alusel, peaks olema õigus esitada järelevalveasutusele kaebus või kasutada õigust õiguskaitsevahendile andmesubjektide nimel või esitada andmesubjekti kaebusest sõltumatult oma kaebus, kui ta leiab, et on toimunud isikuandmetega seotud rikkumine.

(112) Mis tahes asutusel, organisatsioonil või ühingul, mis tegutseb avalikes huvides ja mis on loodud liikmesriigi õigusakti alusel, peaks olema õigus esitada järelevalveasutusele andmesubjektide nõusolekul nende nimel kaebus või kasutada andmesubjekti volitusel õigust õiguskaitsevahendile või esitada andmesubjekti kaebusest sõltumatult oma kaebus, kui ta leiab, et on toimunud käesoleva määruse rikkumine.

Muudatusettepanek 77

Ettepanek võtta vastu määrus

Põhjendus 114

Komisjoni ettepanek

Muudatusettepanek

(114) Andmesubjekti õiguskaitse parandamiseks olukorras, kus pädev järelevalveasutus asub liikmesriigis, mis ei ole andmesubjekti elukohariik, võib andmesubjekt paluda mis tahes asutusel, organisatsioonil või ühingul, mille eesmärk on kaitsta andmesubjektide andmete kaitsega seonduvaid õigusi ja huve, esitada andmesubjekti nimel hagi kõnealuse järelevalveasutuse vastu teise liikmesriigi pädevale kohtule.

(114) Andmesubjekti õiguskaitse parandamiseks olukorras, kus pädev järelevalveasutus asub liikmesriigis, mis ei ole andmesubjekti elukohariik, võib andmesubjekt volitada mis tahes avalikes huvides tegutseval asutusel, organisatsioonil või ühingul esitada hagi kõnealuse järelevalveasutuse vastu teise liikmesriigi pädevale kohtule.

Muudatusettepanek  78

Ettepanek võtta vastu määrus

Põhjendus 115

Komisjoni ettepanek

Muudatusettepanek

(115) Olukorras, kus teises liikmesriigis asuv pädev järelevalveasutus ei võta seoses kaebusega meetmeid või on tema võetud meetmed ebapiisavad, võib andmesubjekt esitada oma tavapärases elukohariigis asuvale järelevalveasutusele taotluse, et see esitaks teise liikmesriigi pädevale kohtule hagi teise liikmesriigi järelevalveasutuse vastu. Taotluse saanud järelevalveasutus võib otsustada, kas taotluse vastuvõtmine on asjakohane või mitte ning tema otsuse võib kohtulikult läbi vaadata.

(115) Olukorras, kus teises liikmesriigis asuv pädev järelevalveasutus ei võta seoses kaebusega meetmeid või on tema võetud meetmed ebapiisavad, võib andmesubjekt esitada oma tavapärases elukohariigis asuvale järelevalveasutusele taotluse, et see esitaks teise liikmesriigi pädevale kohtule hagi teise liikmesriigi järelevalveasutuse vastu. See ei kehti kolmandate riikide residentide kohta. Taotluse saanud järelevalveasutus võib otsustada, kas taotluse vastuvõtmine on asjakohane või mitte ning tema otsuse võib kohtulikult läbi vaadata.

Muudatusettepanek 79

Ettepanek võtta vastu määrus

Põhjendus 116

Komisjoni ettepanek

Muudatusettepanek

(116) Vastutava töötleja või volitatud töötleja vastase hagi korral peaks hagejal olema võimalus esitada hagi kohtule liikmesriigis, kus vastutav töötleja või volitatud töötleja asub või andmesubjekti elukohariigis, välja arvatud juhul, kui vastutav töötleja on avaliku sektori asutus, kes teostab oma avalikku võimu.

(116) Vastutava töötleja või volitatud töötleja vastase hagi korral peaks hagejal olema võimalus esitada hagi kohtule liikmesriigis, kus vastutav töötleja või volitatud töötleja asub või ELi residentsuse puhul andmesubjekti elukohariigis, välja arvatud juhul, kui vastutav töötleja on liidu või liikmesriigi avaliku sektori asutus, kes teostab oma avalikku võimu.

Muudatusettepanek  80

Ettepanek võtta vastu määrus

Põhjendus 118

Komisjoni ettepanek

Muudatusettepanek

(118) Igasuguse kahju, mida üksikisikule võib põhjustada ebaseaduslik töötlemine, peaks kompenseerima vastutav töötleja või volitatud töötleja, kuid ta võidakse sellest kohustusest vabastada, kui ta tõestab, et ta ei ole kahju eest vastutav, seda eelkõige andmesubjekti süü või vääramatu jõu korral.

(118) Igasuguse rahalise või mitterahalise kahju, mida üksikisikule võib põhjustada ebaseaduslik töötlemine, peaks kompenseerima vastutav töötleja või volitatud töötleja, kuid ta võidakse sellest kohustusest vabastada, kui ta tõestab, et ta ei ole kahju eest vastutav, seda eelkõige andmesubjekti süü või vääramatu jõu korral.

Muudatusettepanek  81

Ettepanek võtta vastu määrus

Põhjendus 119

Komisjoni ettepanek

Muudatusettepanek

(119) Igale eraõiguslikule või avalik-õiguslikule isikule, kes ei järgi käesolevat määrust, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja hoiatavad ning nad peaksid võtma kõik meetmed karistuste täitmisele pööramiseks.

(119) Igale eraõiguslikule või avalik-õiguslikule isikule, kes ei järgi käesolevat määrust, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja hoiatavad ning nad peaksid võtma kõik meetmed karistuste täitmisele pööramiseks. Karistusi käsitlevate eeskirjade suhtes tuleks kohaldada nõuetekohaseid menetluslikke tagatisi kooskõlas liidu õiguse ja põhiõiguste harta üldpõhimõtetega, sealhulgas need, mis puudutavad õigust tõhusale õiguskaitsevahendile, õiglasele kohtumenetlusele ja topeltkaristamise keeldu.

Muudatusettepanek  82

Ettepanek võtta vastu määrus

Põhjendus 119 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(119 a) Karistuste kohaldamisel peaksid liikmesriigid täielikult austama nõuetekohaseid menetluslikke tagatisi, sealhulgas õigust tõhusale õiguskaitsevahendile, õiglasele kohtumenetlusele ja topeltkaristamise keeldu.

Muudatusettepanek  83

Ettepanek võtta vastu määrus

Põhjendus 121

Komisjoni ettepanek

Muudatusettepanek

(121) Juhul kui isikuandmeid töödeldakse ainult ajakirjanduse jaoks või kunstilise või kirjandusliku eneseväljenduse huvides, tuleks kohaldada erandit käesoleva määruse teatavate sätete nõuetest, et viia omavahel vastavusse isikuandmete kaitse õigus ja väljendusvabadusõigus, eelkõige Euroopa Liidu põhiõiguste harta artikliga 11 tagatud õigus saada ja levitada teavet. Seda tuleks kohaldada eelkõige isikuandmete töötlemise suhtes audiovisuaalvaldkonnas ning uudiste arhiivide ja perioodikaraamatukogude puhul. Seepärast peaksid liikmesriigid vastu võtma õigusaktid, millega kehtestatakse vabastused ja erandid, mis on vajalikud nimetatud põhiõiguste tasakaalustamise eesmärgil. Sellised vabastused ja erandid peaksid liikmesriigid vastu võtma üldpõhimõtete, andmesubjekti õiguste, vastutava töötleja ja volitatud töötleja, andmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamise, sõltumatute järelevalveasutuste ning koostöö ja ühtsuse kohta. Liikmesriigid ei tohiks siiski kehtestada erandeid käesoleva määruse muudest sätetest. Selleks et võtta arvesse väljendusvabadusõiguse tähtsust igas demokraatlikus ühiskonnas, tuleb tõlgendada selle vabadusega seonduvaid kontseptsioone, näiteks ajakirjandust, üldiselt. Seepärast peaksid liikmesriigid klassifitseerima käesoleva määrusega kehtestatavate vabastuste ja erandite seisukohast tegevuse „ajakirjanduslikuna” siis, kui tegevuse eesmärk on üldsusele teabe, arvamuste või ideede avaldamine, sõltumata nende edastamise kanalist. Tegevus ei tohiks piirduda meediaettevõtjatega ning see võib toimuda tulunduslikel või mittetulunduslikel eesmärkidel.

(121) Vajaduse korral tuleks ette näha vabastusi või erandeid käesoleva määruse teatavate sätete nõuetest isikuandmete töötlemise jaoks, et viia omavahel vastavusse isikuandmete kaitse õigus ja väljendusvabadusõigus, eelkõige Euroopa Liidu põhiõiguste harta artikliga 11 tagatud õigus saada ja levitada teavet. Seepärast peaksid liikmesriigid vastu võtma õigusaktid, millega kehtestatakse vabastused ja erandid, mis on vajalikud nimetatud põhiõiguste tasakaalustamise eesmärgil. Sellised vabastused ja erandid peaksid liikmesriigid vastu võtma üldpõhimõtete, andmesubjekti õiguste, vastutava töötleja ja volitatud töötleja, andmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamise, sõltumatute järelevalveasutuste, koostöö ja ühtsuse ning andmete töötlemise eriolukordade kohta. Liikmesriigid ei tohiks siiski kehtestada erandeid käesoleva määruse muudest sätetest. Selleks et võtta arvesse väljendusvabadusõiguse tähtsust igas demokraatlikus ühiskonnas, tuleb tõlgendada selle vabadusega seonduvaid kontseptsioone üldiselt, et hõlmata kõik tegevused, mille eesmärk on üldsusele teabe, arvamuste või ideede avaldamine, sõltumata nende edastamise kanalist, võttes samuti arvesse tehnoloogia arengut. Tegevus ei tohiks piirduda meediaettevõtjatega ning see võib toimuda tulunduslikel või mittetulunduslikel eesmärkidel.

Muudatusettepanek  84

Ettepanek võtta vastu määrus

Põhjendus 122 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(122 a) Terviseandmeid töötlevale tervishoiutöötajale edastatavates andmetes esinevad nimed tuleks võimaluse korral muuta anonüümseks või asendada varjunimega, et identiteedist oleks teadlik vaid andmete töötlemist vajanud perearst või spetsialist.

Muudatusettepanek  85

Ettepanek võtta vastu määrus

Põhjendus 123

Komisjoni ettepanek

Muudatusettepanek

(123) Terviseandmete töötlemine (ilma andmesubjekti nõusolekuta) võib olla avalikes huvides vajalik näiteks rahvatervise valdkonnas. Selles kontekstis tõlgendatakse „rahvatervist” Euroopa Parlamendi ja nõukogu 16. detsembri 2008. aasta määruse (EÜ) nr 1338/2008 (rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta) mõistes, mille kohaselt rahvatervis on kõik tervisega seotud asjaolud, täpsemalt terviseseisund, sealhulgas haigestumus ja puuded, terviseseisundit mõjutavad tegurid, tervishoiualased vajadused, tervishoiule eraldatud vahendid, tervishoiuteenuse osutamine ja selle üldine kättesaadavus, samuti kulutused tervishoiule ja selle rahastamine ning suremuse põhjused. Sellise terviseandmete avalikes huvides töötlemise tulemusel ei tohiks isikuandmeid muudel eesmärkidel töödelda kolmandad isikud, näiteks tööandjad, kindlustus- ja pangandusettevõtjad.

(123) Terviseandmete töötlemine (ilma andmesubjekti nõusolekuta) võib olla avalikes huvides vajalik näiteks rahvatervise valdkonnas. Selles kontekstis tõlgendatakse „rahvatervist” Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 1338/20081 mõistes, mille kohaselt rahvatervis on kõik tervisega seotud asjaolud, täpsemalt terviseseisund, sealhulgas haigestumus ja puuded, terviseseisundit mõjutavad tegurid, tervishoiualased vajadused, tervishoiule eraldatud vahendid, tervishoiuteenuse osutamine ja selle üldine kättesaadavus, samuti kulutused tervishoiule ja selle rahastamine ning suremuse põhjused.

 

1 Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 1338/2008, 16. detsember 2008, rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta (ELT L 354, 31.12.2008, lk 70).

Muudatusettepanek  86

Ettepanek võtta vastu määrus

Põhjendus 123 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(123 a) Tervist puudutavate isikuandmete kui andmete eriliigi töötlemine võib olla vajalik ajaloo- ja statistikauurimuste või teadustöö eesmärgil. Seepärast nähakse käesoleva määrusega ette erand nõusoleku nõuetest juhtudel, kui teadustöö teenib suurt avalikku huvi.

Muudatusettepanek  87

Ettepanek võtta vastu määrus

Põhjendus 124

Komisjoni ettepanek

Muudatusettepanek

(124) Üksikisikute kaitse põhimõtteid nende isikuandmete töötlemisel tuleks kohaldada ka töösuhte kontekstis. Selleks et reguleerida töövõtjate isikuandmete töötlemist töösuhte kontekstis, peaksid liikmesriigid seetõttu suutma kooskõlas käesoleva määrusega õigusaktiga vastu võtta isikuandmete töötlemise erieeskirjad töösuhte kontekstis.

(124) Üksikisikute kaitse põhimõtteid nende isikuandmete töötlemisel tuleks kohaldada ka töösuhte ja sotsiaalkindlustuse kontekstis. Liikmesriigid peaksid suutma reguleerida töövõtjate isikuandmete töötlemist töösuhte kontekstis ja isikuandmete töötlemist sotsiaalkindlustuse kontekstis kooskõlas käesolevas määruses sätestatud eeskirjade ja miinimumstandarditega. Juhul kui asjaomases liikmesriigis on ette nähtud õiguslik alus töösuhte küsimuste reguleerimiseks töövõtjate esindajate ja ettevõtte või kontserni kontrolliva ettevõtte juhtkonna vahelise lepingu (kollektiivleping) kaudu või Euroopa Parlamendi ja nõukogu direktiivi 2009/38/EÜ1 raames, võib sellise lepingu kaudu reguleerida ka isikuandmete töötlemist töösuhte kontekstis.

 

1 Euroopa Parlamendi ja nõukogu direktiiv 2009/38/EÜ, 6. mai 2009, Euroopa töönõukogu asutamise või töötajate teavitamise ja nendega konsulteerimise korra sisseseadmise kohta liikmesriigiülestes ettevõtetes või kontsernides (ELT L 122, 15.4.2009, lk 28).

Muudatusettepanek  88

Ettepanek võtta vastu määrus

Põhjendus 125 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

(125 a) Isikuandmeid võivad täiendavalt töödelda ka arhiivid, kelle esmane ülesanne või juriidiline kohustus on arhivaale koguda, säilitada, anda nende kohta teavet, neid kasutada ja levitada avalikes huvides. Liikmesriikide seadusandlikes aktides tuleks ühendada õigus isikuandmete kaitsele arhiive ja haldusteabele juurdepääsu käsitlevate eeskirjadega. Liikmesriigid peaksid eelkõige Euroopa arhiivide töörühma ergutama koostama eeskirju, mis tagavad andmete konfidentsiaalsuse kolmandate isikute suhtes ning andmete autentsuse, tervikluse ja nõuetekohase säilitamise.

Muudatusettepanek 89

Ettepanek võtta vastu määrus

Põhjendus 126

Komisjoni ettepanek

Muudatusettepanek

(126) Käesoleva määruse tähenduses hõlmab teadustegevus alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid, lisaks tuleks seejuures arvesse võtta Euroopa Liidu toimimise lepingu artikli 179 lõikes 1 sätestatud ELi eesmärki luua Euroopa teadusruum.

(126) Käesoleva määruse tähenduses hõlmab teadustegevus alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid, lisaks tuleks seejuures arvesse võtta Euroopa Liidu toimimise lepingu artikli 179 lõikes 1 sätestatud ELi eesmärki luua Euroopa teadusruum. Isikuandmete töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil ei tohi põhjustada isikuandmete töötlemist muudel eesmärkidel, välja arvatud andmesubjekti nõusolekul või liidu või liikmesriigi õiguse alusel.

Muudatusettepanek  90

Ettepanek võtta vastu määrus

Põhjendus 128

Komisjoni ettepanek

Muudatusettepanek

(128) Käesolev määrus austab ega piira staatust, mis siseriikliku õiguse kohaselt on liikmesriikides kirikutel ja usuühendustel või -kogukondadel, nagu on sätestatud Euroopa Liidu toimimise lepingu artiklis 17. Seega, kui liikmesriigis asuv kirik kohaldab käesoleva määruse jõustumise ajal terviklikke eeskirju üksikisikute kaitse kohta isikuandmete töötlemisel, peaksid olemasolevad eeskirjad jääma kehtima, kui need viiakse käesoleva määrusega kooskõlla. Sellistelt kirikutelt ja usuühendustelt tuleks nõuda, et nad looksid täielikult sõltumatu järelevalveasutuse.

(128) Käesolev määrus austab ega piira staatust, mis siseriikliku õiguse kohaselt on liikmesriikides kirikutel ja usuühendustel või -kogukondadel, nagu on sätestatud Euroopa Liidu toimimise lepingu artiklis 17. Seega, kui liikmesriigis asuv kirik kohaldab käesoleva määruse jõustumise ajal nõuetekohaseid eeskirju üksikisikute kaitse kohta isikuandmete töötlemisel, peaksid olemasolevad eeskirjad jääma kehtima, kui need viiakse käesoleva määrusega kooskõlla ja need tunnistatakse määrusele vastavaks.

Muudatusettepanek  91

Ettepanek võtta vastu määrus

Põhjendus 129

Komisjoni ettepanek

Muudatusettepanek

(129) Selleks et täita käesoleva määruse eesmärke, täpsemalt kaitsta füüsiliste isikute põhiõigusi ja –vabadusi, eelkõige nende õigust isikuandmete kaitsele ja tagada ELis isikuandmete vaba liikumine, tuleks komisjonile anda Euroopa Liidu toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte. Eelkõige tuleks delegeeritud õigusaktid vastu võtta järgnevates valdkondades: töötlemise seaduslikkus; lapse nõusoleku kriteeriumide ja tingimuste täpsustamine; andmete eriliikide töötlemine; taotluse selgelt liiga mahukaks tunnistamise kriteeriumide ja tingimuste ning andmesubjekti õiguste kasutamise tasude täpsustamine; andmesubjekti teavitamise ja andmetega tutvumise õiguse kriteeriumid ja nõuded; õigus olla unustatud ja õigus nõuda andmete kustutamist; profiilianalüüsil põhinevad meetmed; vastutava töötleja vastutuse ning isikuandmete lõimitud ja vaikimisi kaitse kriteeriumid ja nõuded; volitatud töötleja; dokumenteerimise ja töötlemise turvalisuse kriteeriumid ja nõuded; isikuandmetega seotud rikkumise tuvastamise, sellest järelevalveasutusele teatamise ning olukorra, kus isikuandmetega seotud rikkumine võib tõenäoliselt kahjustada andmesubjekti, kriteeriumid ja nõuded; isikuandmete kaitse alast mõjuhinnangut nõudvate töötlemistoimingute kriteeriumid ja tingimused; eelnevat konsulteerimist nõudva konkreetse ja märkimisväärse ohu määratlemise kriteeriumid ja nõuded; andmekaitseametniku määramine ja tema ülesanded; toimimisjuhendid; sertifitseerimismehhanismidele esitatavad kriteeriumid ja nõuded; siduvate ettevõtluseeskirjade alusel edastamise kriteeriumid ja nõuded; edastamisega seonduvad erandid; halduskaristused; töötlemine tervise kaitse eesmärgil; töötlemine töösuhte kontekstis ning töötlemine ajaloo- või statistikauurimuste ning teadustöö eesmärgil. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil. Komisjon peaks delegeeritud õigusaktide ettevalmistamise ja koostamise ajal tagama asjaomaste dokumentide sama- ja õigeaegse ning sobiva edastamise Euroopa Parlamendile ja nõukogule.

(129) Selleks et täita käesoleva määruse eesmärke, täpsemalt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele ja tagada ELis isikuandmete vaba liikumine, tuleks komisjonile anda Euroopa Liidu toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte. Eelkõige tuleks delegeeritud õigusaktid vastu võtta järgnevates valdkondades Eelkõige tuleks delegeeritud õigusaktid vastu võtta järgnevates valdkondades: ikoonipõhise teabe jagamise viisi tingimuste täpsustamine; õigus andmete kustutamisele; teatamine, et toimimisjuhendid on määrusega kooskõlas; sertifitseerimismehhanismidele esitatavad kriteeriumid ja nõuded; kolmanda riigi või rahvusvahelise organisatsiooni pakutava kaitse piisav tase; siduvate ettevõtluseeskirjade alusel edastamise kriteeriumid ja nõuded; halduskaristused; töötlemine tervise kaitse eesmärgil ning töötlemine töösuhte kontekstis. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil ja eriti Euroopa Andmekaitsenõukoguga. Komisjon peaks delegeeritud õigusaktide ettevalmistamise ja koostamise ajal tagama asjakohaste dokumentide sama- ja õigeaegse ning asjakohase edastamise Euroopa Parlamendile ja nõukogule.

Muudatusettepanek  92

Ettepanek võtta vastu määrus

Põhjendus 130

Komisjoni ettepanek

Muudatusettepanek

(130) Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks anda komisjonile rakendusvolitused järgnevates valdkondades: lapse isikuandmete töötlemise tüüpvormide kehtestamine; lapse nõusoleku tüüpvormide kehtestamine; andmesubjektide õiguste kasutamise tüüpkord ja -vormid; andmetega tutvumise tüüpvormid ja -kord; õiguse andmete ülekantavusele; õiguse andmete ülekantavusele; isikuandmete lõimitud ja vaikimisi kaitse ning dokumenteerimisega seonduva vastutava töötleja vastutuse tüüpvormid; töötlemise turvalisuse konkreetsed nõuded; isikuandmetega seotud rikkumisest järelevalveasutusele teatamise ning isikuandmetega seotud rikkumisest andmesubjektile teatamise tüüpvorming ja -kord; isikuandmete kaitse alase mõjuhinnangu standardid ja kord; eelneva loa ja eelneva konsulteerimise vormid ja kord; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; andmete avaldamine juhtudel, kui liidu õigusaktidega ei ole seda lubatud; vastastikune abi; ühisoperatsioonid; järjepidevuse mehhanismi raames tehtavad otsused. Kõnealuseid volitusi tuleks kasutada vastavalt Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrusele (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes. Seejuures peaks komisjon kaaluma konkreetsete meetmete kehtestamist mikro-, väike- ja keskmise suurusega ettevõtete jaoks.

(130) Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks anda komisjonile rakendusvolitused järgnevates valdkondades: kontrollitava nõusoleku saamise erimeetodite tüüpvormide kehtestamine seoses lapse isikuandmete töötlemisega; andmesubjektide õiguste kasutamisest teavitamise tüüpvormid; andmesubjektide õiguste kasutamise tüüpkord ja -vormid; andmetega tutvumise tüüpvormid, sealhulgas andmesubjektidele isikuandmete edastamiseks; nende dokumentidega seonduvad tüüpvormid, mida peavad pidama vastutav töötleja ja volitatud töötleja; isikuandmetega seotud rikkumisest järelevalveasutusele teatamise ja isikuandmetega seotud rikkumise dokumenteerimise tüüpvorm; eelneva konsulteerimise ja järelevalveasutusele esitatava teabe vormid. Kõnealuseid volitusi tuleks kasutada vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) nr 182/20111. Seejuures peaks komisjon kaaluma konkreetsete meetmete kehtestamist mikro-, väike- ja keskmise suurusega ettevõtete jaoks.

 

1 Euroopa Parlamendi ja nõukogu määrus (EL) nr 182/2011, 16. veebruar 2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes. Seejuures peaks komisjon kaaluma konkreetsete meetmete kehtestamist mikro-, väike- ja keskmise suurusega ettevõtete jaoks.

Muudatusettepanek  93

Ettepanek võtta vastu määrus

Põhjendus 131

Komisjoni ettepanek

Muudatusettepanek

(131) Arvestades, et allpool loetletud meetmed on üldise iseloomuga, tuleks kasutada nende vastuvõtmisel kontrollimenetlust: lapse nõusoleku tüüpvormide kehtestamine; andmesubjektide õiguste kasutamise tüüpkord ja -vormid; andmesubjekti teavitamise tüüpvormid; andmetega tutvumise õiguse kasutamise tüüpvormid ja -kord; õiguse andmete ülekantavusele; isikuandmete lõimitud ja vaikimisi kaitse ning dokumenteerimisega seonduva vastutava töötleja vastutuse tüüpvormid; töötlemise turvalisuse konkreetsed nõuded; isikuandmetega seotud rikkumisest järelevalveasutusele teatamise ning isikuandmetega seotud rikkumisest andmesubjektile teatamise tüüpvorming ja -kord; isikuandmete kaitse alase mõjuhinnangu standardid ja kord; eelneva loa ja eelneva konsulteerimise vormid ja kord; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; andmete avaldamine juhtudel, kui liidu õigusaktidega ei ole seda lubatud; vastastikune abi; ühisoperatsioonid; ühisoperatsioonid; järjepidevuse mehhanismi raames tehtavad otsused.

(131) Arvestades, et allpool loetletud meetmed on üldise iseloomuga, tuleks kasutada nende vastuvõtmisel kontrollimenetlust: kontrollitava nõusoleku saamise erimeetodite tüüpvormide kehtestamine seoses lapse isikuandmete töötlemisega; andmesubjektide õiguste kasutamisest teavitamise tüüpvormid; andmesubjektide õiguste kasutamise tüüpkord ja -vormid; andmetega tutvumise tüüpvormid, sealhulgas andmesubjektidele isikuandmete edastamiseks; nende dokumentidega seonduvad tüüpvormid, mida peavad pidama vastutav töötleja ja volitatud töötleja; isikuandmetega seotud rikkumisest järelevalveasutusele teatamise ja isikuandmetega seotud rikkumise dokumenteerimise tüüpvorm; eelneva konsulteerimise ja järelevalveasutusele esitatava teabe vormid.

Muudatusettepanek  94

Ettepanek võtta vastu määrus

Põhjendus 132

Komisjoni ettepanek

Muudatusettepanek

(132) Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse ebapiisava taseme või järjepidevuse mehhanismi raames järelevalveasutustele edastatud küsimustega, peaks komisjon olukorra tungiva kiireloomulisuse korral vastu võtma viivitamata kohaldatavad rakendusaktid.

välja jäetud

Muudatusettepanek 95

Ettepanek võtta vastu määrus

Põhjendus 134

Komisjoni ettepanek

Muudatusettepanek

(134) Direktiiv 95/46/EÜ tuleks tunnistada käesoleva määrusega kehtetuks. Direktiivi 95/46/EÜ alusel komisjoni vastu võetud otsused ja järelevalveasutuste antud load peaksid siiski jääma kehtima.

(134) Direktiiv 95/46/EÜ tuleks tunnistada käesoleva määrusega kehtetuks. Direktiivi 95/46/EÜ alusel komisjoni vastu võetud otsused ja järelevalveasutuste antud load peaksid siiski jääma kehtima. Komisjoni otsused ja järelevalveasutuste antud load, mis on seotud isikuandmete edastamisega kolmandatele riikidele artikli 41 lõike 8 alusel, peaksid jääma kehtima viieaastaseks üleminekuperioodiks pärast käesoleva määruse jõustumist, välja arvatud juhul, kui komisjon neid enne selle ajavahemiku lõppu muudab, need asendab või need kehtetuks tunnistab.

Muudatusettepanek  96

Ettepanek võtta vastu määrus

Artikkel 2

Komisjoni ettepanek

Muudatusettepanek

Reguleerimisala

Reguleerimisala

1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad toimikusüsteemi või kui need kavatsetakse toimikusüsteemi kanda.

1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, olenemata töötlemismeetodist, kui kõnealused isikuandmed kuuluvad toimikusüsteemi või kui need kavatsetakse toimikusüsteemi kanda.

2. Käesolevat määrust ei kohaldata, kui:

2. Käesolevat määrust ei kohaldata, kui:

a) isikuandmeid töödeldakse muu kui liidu õiguse reguleerimisalasse kuuluva tegevuse käigus, eriti seoses riigi julgeoleku tagamisega;

a) isikuandmeid töödeldakse muu kui liidu õiguse reguleerimisalasse kuuluva tegevuse käigus;

b) isikuandmeid töötlevad liidu institutsioonid, organid ja asutused;

 

c) liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub Euroopa Liidu lepingu 2. peatüki reguleerimisalasse;

c) liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub Euroopa Liidu lepingu V jaotise 2. peatüki reguleerimisalasse;

d) isikuandmeid töötleb füüsiline isik üksnes isikliku või koduse tegevuse käigus ilma tulutoova eesmärgita;

d) isikuandmeid töötleb füüsiline isik üksnes isikliku või koduse tegevuse käigus. Seda erandit kohaldatakse samuti isikuandmete avaldamise suhtes, mille puhul võib mõistlikult eeldada, et nendele juurdepääs piirdub vähesel arvul isikutega;

e) isikuandmeid töötleb pädev asutus kuritegude ennetamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täideviimiseks.

e) isikuandmeid töötleb pädev avaliku sektori asutus kuritegude ennetamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täideviimiseks.

3. Käesoleva määruse kohaldamine ei piira direktiivi 2000/31/EÜ, eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate eeskirjade kohaldamist.

3. Käesoleva määruse kohaldamine ei piira direktiivi 2000/31/EÜ, eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate eeskirjade kohaldamist.

Muudatusettepanek  97

Ettepanek võtta vastu määrus

Artikkel 3

Komisjoni ettepanek

Muudatusettepanek

Territoriaalne kohaldamisala

Territoriaalne kohaldamisala

1. Käesolevat määrust kohaldatakse liidu territooriumil paikneva vastutava töötleja ja volitatud töötleja asutuse tegevuse raames toimuva isikuandmete töötlemise suhtes.

1. Käesolevat määrust kohaldatakse liidu territooriumil paikneva vastutava töötleja ja volitatud töötleja asutuse tegevuse raames toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töötlemine toimub liidus või väljaspool.

2. Käesolevat määrust kohaldatakse liidu territooriumil elavate andmesubjektide isikuandmete töötlemise suhtes mujal kui liidus asuva vastutava töötleja poolt, kui andmete töötlemine on seotud:

2. Käesolevat määrust kohaldatakse liidu andmesubjektide isikuandmete töötlemise suhtes mujal kui liidus asuva vastutava töötleja või volitatud töötleja poolt, kui andmete töötlemine on seotud:

a) liidu andmesubjektidele kaupade ja teenuste pakkumisega või

a) liidu andmesubjektidele kaupade ja teenuste pakkumisega, sõltumata sellest, kas andmesubjekti makset on vaja, või

b) nende käitumise jälgimisega.

b) kõnealuste andmesubjektide jälgimisega.

3. Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, kelle asukoht ei ole liidus, vaid kohas, kus rahvusvahelise avaliku õiguse kohaselt kohaldatakse mõne liikmesriigi õigust.

3. Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, kelle asukoht ei ole liidus, vaid kohas, kus rahvusvahelise avaliku õiguse kohaselt kohaldatakse mõne liikmesriigi õigust.

Muudatusettepanek  98

Ettepanek võtta vastu määrus

Artikkel 4

Komisjoni ettepanek

Muudatusettepanek

Mõisted

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

Käesolevas määruses kasutatakse järgmisi mõisteid:

(1) „andmesubjekt” – füüsiline isik, kelle isikusamasus on tuvastatud või otseselt või kaudselt tuvastatav vahenditega, mida vastutav töötleja või mis tahes muu füüsiline või juriidiline isik tavaliselt kasutavad, nagu isikukood, asukohaandmed ja veebiidentifikaator, samuti üks või mitu isiku füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist ja sotsiaalset tunnust;

 

(2) „isikuandmed” – igasugune teave andmesubjekti kohta;

(2) „isikuandmed” – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti”) kohta; tuvastatav isik on selline isik, kelle isikusamasus on otseselt või kaudselt tuvastatav, näiteks viitega sellisele identifikaatorile nagu nimi, isikukood, asukohaandmed, kordumatu tunnus või üks või mitu isiku füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist ja sotsiaalset tunnust;

 

(2 a) „varjunimega tähistatud andmed” – isikuandmed, mida ei saa seostada andmesubjektiga täiendavat teavet kasutamata, kui niisugust täiendavat teavet hoitakse eraldi ning selle suhtes kohaldatakse tehnilisi ja organisatsioonilisi meetmeid, et tagada selle teabe isikuga seostamatus;

 

(2 b) „krüptitud andmed” – isikuandmed, mis on muudetud tehniliste kaitseabinõudega loetamatuks kõikidele juurdepääsuõiguseta isikutele;

(3) „töötlemine” – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute teostamine, lugemine, kasutamine, üleandmine, levitamine ja muul moel kättesaadavaks tegemine, ühitamine või ühendamine, kustutamine ja hävitamine;

(3) „töötlemine” – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute teostamine, lugemine, kasutamine, üleandmine, levitamine ja muul moel kättesaadavaks tegemine, ühitamine või ühendamine, kustutamine ja hävitamine;

 

(3 a) „profiilianalüüs” – igasugune isikuandmete automatiseeritud töötlemine eesmärgiga hinnata füüsilise isiku teatavaid personaalseid tahke või analüüsida või prognoosida eeskätt selle füüsilise isiku töötulemusi, majanduslikku olukorda, asukohta, tervist, isiklikke eelistusi, käitumist või usaldusväärsust;

(4) „toimikusüsteem” – isikuandmete korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsel või geograafilisel põhimõttel hajutatud;

(4) „toimikusüsteem” – isikuandmete korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsel või geograafilisel põhimõttel hajutatud;

(5) „vastutav töötleja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid, tingimused ja vahendid; kui töötlemise eesmärgid, tingimused ja vahendid on kindlaks määratud liidu või liikmesriikide õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

(5) „vastutav töötleja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriikide õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

(6) „volitatud töötleja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes töötleb isikuandmeid vastutava töötleja nimel;

(6) „volitatud töötleja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes töötleb isikuandmeid vastutava töötleja nimel;

(7) „vastuvõtja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kellele andmed avaldatakse;

(7) „vastuvõtja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kellele andmed avaldatakse;

 

(7 a) „kolmas isik” – füüsiline või juriidiline isik, riigiasutus, esindus või muu organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad andmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

(8) „andmesubjekti nõusolek” – vabatahtlik, konkreetne, teadlik ja selgelt väljendatud tahteavaldus, millega andmesubjekt kas avalduse vormis või nõusolekut väljendava tegevusega annab nõusoleku töödelda enda kohta käivaid isikuandmeid;

(8) „andmesubjekti nõusolek” – vabatahtlik, konkreetne, teadlik ja selgelt väljendatud tahteavaldus, millega andmesubjekt kas avalduse vormis või nõusolekut väljendava tegevusega annab nõusoleku töödelda enda kohta käivaid isikuandmeid;

(9) „isikuandmetega seotud rikkumine” – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise ja loata avalikustamise või neile juurdepääsu;

(9) „isikuandmetega seotud rikkumine” – edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või juurdepääs neile;

(10) „geneetilised andmed” – mis tahes liiki andmed isiku pärilike ja varajasel sünnieelsel arenguetapil kujunenud omaduste kohta;

(10) „geneetilised andmed” – isikuandmed, mis seonduvad isiku pärilike või kujunenud geneetiliste omadustega, kuivõrd need on saadud kõnealuse isiku bioloogilise proovi analüüsist, eelkõige kromosoom-, desoksüribonukleiinhappe (DNA) või ribonukleiinhappe (RNA) analüüsist või mis tahes muu elemendi analüüsist, mis võimaldab samaväärse teabe saamist;

(11) „biomeetrilised andmed” – andmed isiku tuvastamist võimaldavate füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, näiteks näokujutis ja sõrmejäljeandmed;

(11) „biomeetrilised andmed” – isikuandmed isiku tuvastamist võimaldavate füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, näiteks näokujutis ja sõrmejäljeandmed;

(12) „terviseandmed” – teave, mis käsitleb isiku füüsilist ja vaimset tervist ning isikule tervishoiuteenuse osutamist;

(12) „terviseandmed” – isikuandmed, mis käsitlevad isiku füüsilist ja vaimset tervist ning isikule tervishoiuteenuse osutamist;

(13) „peamine tegevuskoht” – vastutava töötleja selline asukoht liidus, kus tehakse peamised otsused isikuandmete töötlemise eesmärkide, tingimuste ja vahendite kohta või kui otsuseid isikuandmete töötlemise eesmärkide, tingimuste ja vahendite kohta ei tehta liidus, siis asukoht liidus, kus vastutav töötleja oma tegevuse käigus peamiselt andmeid töötleb. Volitatud töötleja peamine tegevuskoht on tema juhtkonna asukoht liidus;

(13) „peamine tegevuskoht” – kas vastutava töötleja või volitatud töötleja ettevõtte või kontserni selline asukoht liidus, kus tehakse peamised otsused isikuandmete töötlemise eesmärkide, tingimuste ja vahendite kohta. Muu hulgas võib arvesse võtta järgmisi objektiivseid kriteeriumeid: vastutava töötleja või volitatud töötleja peakorteri asukoht; kontserni selle allüksuse asukoht, kes oma juhtimisfunktsioonide ja haldusülesannete tõttu kõige paremini sobib käesolevas määruses sätestatud eeskirjade jõustamisega tegelema; asukoht, kus toimub tegelik ja tulemuslik juhtimistegevus, mis määrab stabiilse menetluskorra kaudu andmetöötluse;

(14) „esindaja” – liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja on otseselt nimetanud ja kes tegutseb tema nimel ning kelle poole liidu järelevalveasutused ja muud organid võivad pöörduda vastutava töötleja poole pöördumise asemel vastutava töötleja käesolevast määrusest tulenevate kohustuste küsimuses.

(14) „esindaja” – liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja on otseselt nimetanud ja kes esindab vastutavat töötlejat vastutava töötleja käesolevast määrusest tulenevate kohustuste küsimuses;

(15) „ettevõte” – majandustegevusega tegelev mis tahes üksus olenemata selle õiguslikust vormist, sealhulgas füüsilised ja juriidilised isikud, partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

(15) „ettevõte” – majandustegevusega tegelev mis tahes üksus olenemata selle õiguslikust vormist, sealhulgas füüsilised ja juriidilised isikud, partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

(16) „kontsern” – kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

(16) „kontsern” – kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

(17) „siduvad ettevõtluseeskirjad” – liidu liikmesriigis asuva vastutava töötleja ja volitatud töötleja kehtestatud isikuandmete kaitse põhimõtted, millest ta lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus tegutsevale vastutavale või volitatud töötlejale;

(17) „siduvad ettevõtluseeskirjad” – liidu liikmesriigis asuva vastutava töötleja ja volitatud töötleja kehtestatud isikuandmete kaitse põhimõtted, millest ta lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus tegutsevale vastutavale või volitatud töötlejale;

(18) „laps” – alla 18aastane isik;

(18) „laps” – alla 18aastane isik;

(19) „järelevalveasutus” – liikmesriigis vastavalt artiklile 46 asutatud avaliku sektori asutus.

(19) „järelevalveasutus” – liikmesriigis vastavalt artiklile 46 asutatud avaliku sektori asutus.

Muudatusettepanek  99

Ettepanek võtta vastu määrus

Artikkel 5

Komisjoni ettepanek

Muudatusettepanek

Isikuandmete töötlemise põhimõtted

Isikuandmete töötlemise põhimõtted

1. Isikuandmete töötlemisel tagatakse, et:

1. Isikuandmete töötlemisel tagatakse, et:

a) töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev;

a) töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev (seaduslikkus, õiglus ja läbipaistvus);

b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus;

b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus (eesmärgi piiritlemine);

c) isikuandmed on asjakohased, olulised ja neid on piisavalt, kuid mitte rohkem, kui on minimaalselt vaja töötlemise otstarbe seisukohalt; ning et neid töödeldakse ainult sel juhul ja seni, kuni isikuandmeteta teabe töötlemine ei võimalda saavutada seatud eesmärke;

c) isikuandmed on asjakohased, olulised ja neid on piisavalt, kuid mitte rohkem, kui on minimaalselt vaja töötlemise otstarbe seisukohalt; ning et neid töödeldakse ainult sel juhul ja seni, kuni isikuandmeteta teabe töötlemine ei võimalda saavutada seatud eesmärke (minimaalne andmehulk);

d) isikuandmed on alati täpsed ja ajakohased ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohalt ebatäpsed isikuandmed kustutakse või parandatakse viivitamata;

d) isikuandmed on alati täpsed ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohalt ebatäpsed isikuandmed kustutakse või parandatakse viivitamata (täpsus);

e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib pikemaajaliselt säilitada juhul, kui neid kavatsetakse töödelda üksnes ajaloo- ja statistikauurimuste ning teadustöö eesmärgil kooskõlas artiklis 83 sätestatud eeskirjade ja tingimustega ning kui korrapäraselt hinnatakse nende edasise säilitamise vajalikkust;

e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte otseselt või kaudselt tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib pikemaajaliselt säilitada juhul, kui neid kavatsetakse töödelda üksnes ajaloo- ja statistikauurimuste ning teadustöö või arhiveerimise eesmärgil kooskõlas artiklites 83 ja 83 a sätestatud eeskirjade ja tingimustega ning kui korrapäraselt hinnatakse nende edasise säilitamise vajalikkust ning kui vajaduse korral on kehtestatud nõuetekohased tehnilised ja organisatsioonilised meetmed, et piirata andmetele juurdepääsu ainult kõnealustel eesmärkidel (minimaalne säilitamine);

 

e a) isikuandmeid töödeldakse viisil, mis võimaldab andmesubjektil oma õigusi tõhusalt kasutada (tõhusus);

 

e b) isikuandmeid töödeldakse viisil, mis kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustamise eest, kasutades nõuetekohaseid tehnilisi või organisatsioonilisi meetmeid (terviklus);

f) isikuandmeid töödeldakse vastutava töötleja kohustuste raames ja vastutusel ning vastutav töötleja tagab ja tõendab, et töötlemistoimingud vastavad käesolevale määrusele.

f) isikuandmeid töödeldakse vastutava töötleja kohustuste raames ja vastutusel ning vastutav töötleja tagab ja suudab tõendada käesolevale määrusele vastavust (vastutus).

Muudatusettepanek 100

Ettepanek võtta vastu määrus

Artikkel 6

Komisjoni ettepanek

Muudatusettepanek

Töötlemise seaduslikkus

Töötlemise seaduslikkus

1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a) andmesubjekt on andnud selgesõnalise nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

a) andmesubjekt on andnud selgesõnalise nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

b) töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

b) töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

c) töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;

c) töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;

d) töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks;

d) töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks;

e) töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

e) töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

f) töötlemine on vajalik vastutava töötleja õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti, eriti lapse huvid, põhiõigused ja vabadused, mille nimel tuleb kaitsta isikuandmeid. Seda tingimust ei kohaldata, kui andmeid töötleb avaliku sektori asutus oma ülesannete täitmiseks.

f) töötlemine on vajalik vastutava töötleja või avaldamise puhul selle kolmanda isiku, kellele andmed avaldatakse, õigustatud huvi korral, mis vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti, põhiõigused ja vabadused, mille nimel tuleb kaitsta isikuandmeid. Seda tingimust ei kohaldata, kui andmeid töötleb avaliku sektori asutus oma ülesannete täitmiseks.

2. Isikuandmete töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil on seaduslik, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud.

2. Isikuandmete töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil on seaduslik, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud.

3. Lõike 1 punktides c ja e osutatud töötlemise alus peab olema ette nähtud:

3. Lõike 1 punktides c ja e osutatud töötlemise alus peab olema ette nähtud:

a) liidu õigusega või

a) liidu õigusega või

b) vastutava töötleja asukohaliikmesriigi õigusega.

b) vastutava töötleja asukohaliikmesriigi õigusega.

Liikmesriigi õiguses tuleb lähtuda avalikust huvist või teiste isikute õiguste ja vabaduste kaitsmise eesmärgist ning arvestada isikuandmete kaitse õiguse olemust, ja see peab olema proportsionaalne taotletava õiguspärase eesmärgiga.

Liikmesriigi õiguses tuleb lähtuda avalikust huvist või teiste isikute õiguste ja vabaduste kaitsmise eesmärgist ning arvestada isikuandmete kaitse õiguse olemust, ja see peab olema proportsionaalne taotletava õiguspärase eesmärgiga. Käesoleva määruse piires võib liikmesriikide õigusega näha ette töötlemise seaduslikkuse üksikasju, eriti vastutava töötleja, töötlemise eesmärgi ja eesmärgi piiritlemise, andmete ja andmesubjektide olemuse, töötlemismenetluste ja -meetodite, saajate ning säilitamise aja osas.

4. Kui isikuandmete edasise töötlemise eesmärk erineb nende kogumise algsest eesmärgist, peab töötlemine põhinema vähemalt ühel lõike 1 punktides a–e osutatud õiguslikul alusel. See kehtib eelkõige lepingu- ja üldtingimuste muutmise suhtes.

 

5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse lõike 1 punktis f osutatud tingimusi, millest lähtutakse andmete töötlemisel eri sektorites ja andmetöötlusolukordades, sealhulgas lapse isikuandmete töötlemisel.

 

Muudatusettepanek  101

Ettepanek võtta vastu määrus

Artikkel 7

Komisjoni ettepanek

Muudatusettepanek

Nõusoleku andmise tingimused

Nõusoleku andmise tingimused

1. Vastutav töötleja peab suutma tõendada, et andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid teatavatel eesmärkidel.

1. Kui töötlemine põhineb nõusolekul, peab vastutav töötleja suutma tõendada, et andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid teatavatel eesmärkidel.

2. Kui andmesubjekt peab nõusoleku andma kirjaliku kinnitusena, mis hõlmab ka muid küsimusi, siis tuleb nõusoleku andmise taotlus esitada selgelt muudest küsimustest eraldi.

2. Kui andmesubjekt annab nõusoleku kirjaliku kinnitusena, mis hõlmab ka muid küsimusi, siis tuleb nõusoleku andmise taotlus esitada selgelt muudest küsimustest eraldi. Andmesubjekti nõusolekut käsitlevad sätted, mis osaliselt rikuvad käesolevat määrust, on täielikult kehtetud.

3. Andmesubjektil on õigus oma nõusolek igal ajal tühistada. Nõusoleku tühistamine ei mõjuta enne tühistamist toimunud töötlemise seaduslikkust.

3. Olenemata muudest töötlemise õiguslikest alustest, on andmesubjektil õigus oma nõusolek igal ajal tühistada. Nõusoleku tühistamine ei mõjuta enne tühistamist toimunud töötlemise seaduslikkust. Nõusoleku tagasivõtmine on sama lihtne kui selle andmine. Vastutav töötleja teavitab andmesubjekti, kui nõusoleku tagasivõtmise tagajärjel võib vastutav töötleja teenuste osutamise või suhte lõpetada.

4. Nõusolek ei anna töötlemiseks õiguslikku alust, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras.

4. Nõusolek võib olla eesmärgiga piiritletud ning kaotab kehtivuse, kui eesmärk kaob või kui isikuandmete töötlemine ei ole enam vajalik selle eesmärgi täitmiseks, milleks neid algselt koguti. Lepingu täitmine või teenuse osutamine ei tohi sõltuda nõusolekust selliste andmete töötlemiseks või kasutamiseks, mis ei ole vajalikud lepingu täitmiseks või teenuste osutamiseks artikli 6 lõike 1 punkti b kohaselt.

Muudatusettepanek 102

Ettepanek võtta vastu määrus

Artikkel 8

Komisjoni ettepanek

Muudatusettepanek

Lapse isikuandmete töötlemine

Lapse isikuandmete töötlemine

1. Kui käesolevat määrust kohaldatakse infoühiskonna teenuste pakkumisel otse lapsele, on kuni 13aastase lapse isikuandmete töötlemine seaduslik ainult sellisel juhul ja sellises ulatuses, kui selleks on andnud nõusoleku või loa lapse vanem või eeskostja. Vastutav töötleja teeb kontrollitava nõusoleku saamiseks olemasolevat tehnoloogiat arvesse võttes mõistlikke jõupingutusi.

1. Kui käesolevat määrust kohaldatakse kaupade või teenuste pakkumisel otse lapsele, on kuni 13aastase lapse isikuandmete töötlemine seaduslik ainult sellisel juhul ja sellises ulatuses, kui selleks on andnud nõusoleku või loa lapse vanem või eestkostja. Vastutav töötleja teeb nõusoleku kontrollimiseks olemasolevat tehnoloogiat arvesse võttes mõistlikke jõupingutusi, põhjustamata isikuandmete muidu ebavajalikku töötlemist.

 

1 a. Lastele, lapsevanematele ja eestkostjatele nõusoleku väljendamiseks antav teave, mis muu hulgas puudutab isikuandmete kogumist ja kasutamist vastutava töötleja poolt, peaks olema esitatud sihtrühmale kohases keelekasutuses.

2. Lõige 1 ei mõjuta liikmesriikide üldist lepinguõigust, näiteks eeskirju, mis käsitlevad lapsega seotud lepingu kehtivust, koostamist ja mõju.

2. Lõige 1 ei mõjuta liikmesriikide üldist lepinguõigust, näiteks eeskirju, mis käsitlevad lapsega seotud lepingu kehtivust, koostamist ja mõju.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud kontrollitava nõusoleku saamise meetodite suhtes kohaldatavaid kriteeriume ja nõudeid. Seejuures kaalub komisjon konkreetsete meetmete kehtestamist mikro-, väikeste ja keskmise suurusega ettevõtete jaoks.

3. Euroopa Andmekaitsenõukogule usaldatakse vastavalt artiklile 66 ülesanne avaldada juhiseid, soovitusi ja parimaid tavasid seoses lõikes 1 osutatud nõusoleku kontrollimise meetoditega.

4. Komisjon võib lõikes 1 osutatud kontrollitava nõusoleku saamise meetodite jaoks kehtestada tüüpvormid. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

Muudatusettepanek  103

Ettepanek võtta vastu määrus

Artikkel 9

Komisjoni ettepanek

Muudatusettepanek

Isikuandmete eriliikide töötlemine

Isikuandmete eriliigid

1. Keelatud on töödelda isikuandmeid, mis kajastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religiooni ja usku ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning süüdimõistvate kohtuotsuste ja nendega seotud turvameetmete kohta.

1. Keelatud on töödelda isikuandmeid, mis kajastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religiooni ja filosoofilisi veendumusi, seksuaalset sättumust või soolist identiteeti, ametiühingusse kuulumist ja sellealast tegevust, samuti geneetilisi või biomeetrilisi andmeid või andmeid tervise, seksuaalelu, halduskaristuste, kohtuotsuste, kuritegude või kahtlustatavate süütegude, süüdimõistvate kohtuotsuste ja nendega seotud turvameetmete kohta.

2. Lõiget 1 ei kohaldata, kui:

2. Lõiget 1 ei kohaldata järgmistel juhtudel:

a) andmesubjekt on artiklites 7 ja 8 sätestatud tingimustel andnud nõusoleku neid isikuandmeid töödelda, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada, või

a) andmesubjekt on artiklites 7 ja 8 sätestatud tingimustel andnud nõusoleku neid isikuandmeid töödelda ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada, või

 

a a) töötlemine on vajalik sellise lepingu täitmiseks, mille osapool andmesubjekt on, või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

b) töötlemine on vajalik seoses vastutava töötleja tööõigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega, milles on sätestatud piisavad kaitsemeetmed, või

b) töötlemine on vajalik seoses vastutava töötleja tööõigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega või kollektiivlepingutega, milles on sätestatud piisavad kaitsemeetmed andmesubjekti põhiõiguste ja huvide jaoks, näiteks õigus mittediskrimineerimisele, vastavalt artiklis 82 osutatud tingimustele ja kaitsemeetmetele, või

c) töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma, või

c) töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma, või

d) töötlemine toimub poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusühingu õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning kui töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning tingimusel et andmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta, või

d) töötlemine toimub poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusühingu õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning kui töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning tingimusel et andmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta, või

e) töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud, või

e) töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud, või

f) töötlemine on vajalik õigusnõuete koostamiseks, esitamiseks ja kaitsmiseks; või

f) töötlemine on vajalik õigusnõuete koostamiseks, esitamiseks ja kaitsmiseks; või

 

g) töötlemine on vajalik sellise avaliku huviga seotud ülesande täitmiseks, mis on ettenähtud liidu või liikmesriigi õiguses, milles on sätestatud asjakohased kaitsemeetmed andmesubjekti õigustatud huvi kaitsmiseks, või

g) töötlemine on vajalik sellise suure avaliku huviga seotud ülesande täitmiseks, mis on ettenähtud liidu või liikmesriigi õiguses, mis on proportsionaalne saavutatava eesmärgiga, mis austab isikuandmete kaitse õiguse olemust ning milles on sätestatud asjakohased kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitsmiseks, või

h) tervislikku seisundit käsitlevate andmete töötlemine on vajalik tervise kaitseks, kui artiklis 81 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või

h) tervislikku seisundit käsitlevate andmete töötlemine on vajalik tervise kaitseks, kui artiklis 81 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või

i) töötlemine on vajalik ajaloo- ja statistikauurimuste ning teadustöö eesmärgil, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või

i) töötlemine on vajalik ajaloo- ja statistikauurimuste ning teadustöö eesmärgil, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või

 

i a) töötlemine on vajalik arhiivide jaoks, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või

j) süüdimõistvaid kohtuotsuseid ja nendega seotud turvameetmeid käsitlevaid andmeid töödeldakse ametiasutuse järelevalve all või kui töötlemine on vajalik vastutava töötleja suhtes kohaldatavatest õigusaktidest tuleneva kohustuse või olulise avalike huvidega seotud ülesande täitmiseks niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega, milles on sätestatud piisavad kaitsemeetmed. Süüdimõistvate kohtuotsuste täielikku registrit võib pidada ainult ametiasutuse järelevalve all.

j) halduskaristusi, kohtuotsuseid, kuritegusid, süüdimõistvaid kohtuotsuseid ja nendega seotud turvameetmeid käsitlevaid andmeid töödeldakse ametiasutuse järelevalve all või kui töötlemine on vajalik vastutava töötleja suhtes kohaldatavatest õigusaktidest tuleneva kohustuse või olulise avalike huvidega seotud ülesande täitmiseks niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega, milles on sätestatud piisavad kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitsmiseks. Süüdimõistvate kohtuotsuste registrit võib pidada ainult ametiasutuse järelevalve all.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, milles täpsustatakse lõikes 1 osutatud isikuandmete eriliikide töötlemise kriteeriume, tingimusi ja kaitsemeetmeid ning lõikes 2 osutatud erandeid.

3. Euroopa Andmekaitsenõukogule usaldatakse vastavalt artiklile 66 ülesanne avaldada juhiseid, soovitusi ja parimaid tavasid seoses lõikes 1 osutatud isikuandmete eriliikide töötlemisega.

Muudatusettepanek 104

Ettepanek võtta vastu määrus

Artikkel 10

Komisjoni ettepanek

Muudatusettepanek

Juhul kui vastutav töötleja töötleb selliseid andmeid, mille alusel ei saa füüsilist isikut tuvastada, ei ole ta kohustatud hankima lisateavet ainult käesoleva määruse täitmiseks.

1. Juhul kui vastutav töötleja või volitatud töötleja töötleb selliseid andmeid, mille alusel ei saa füüsilist isikut otseselt või kaudselt tuvastada või mis hõlmavad ainult varjunimega tähistatud andmeid, ei tohi ta töödelda ega hankida lisateavet ainult käesoleva määruse täitmiseks.

 

2. Kui vastutav töötleja ei suuda käesoleva määruse sätteid täita lõike 1 tõttu, ei ole ta kohustatud kõnealust käesoleva määruse sätet täitma. Kui eelneva tagajärjel ei saa vastutav töötleja andmesubjekti taotlust täita, teatab ta sellest andmesubjektile.

Muudatusettepanek  105

Ettepanek võtta vastu määrus

Artikkel 10 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 10 a

 

Andmesubjekti õiguste üldpõhimõtted

 

1. Andmekaitse aluseks on andmesubjekti selged ja ühemõttelised õigused, mida vastutav töötleja peab austama. Käesoleva määruse eesmärk on neid õigusi tugevdada, täpsustada, tagada ja vajaduse korral kodifitseerida.

 

2. Niisugused õigused hõlmavad muu hulgas selge ja kergesti mõistetava teabe andmist andmesubjekti isikuandmete töötlemise kohta, õigust oma isikuandmetega tutvumisele, nende parandamisele ja kustutamisele, õigust profiilianalüüsi vaidlustamisele, õigust esitada kaebus pädevale andmekaitseasutusele ning algatada kohtumenetlus, samuti õigust hüvitisele ja ebaseaduslikust töötlemistoimingust tuleneva kahju hüvitamisele. Selliseid õigusi peaks üldiselt saama kasutada tasuta. Vastutav töötleja vastab andmesubjekti taotlustele mõistliku ajavahemiku jooksul.

Muudatusettepanek  106

Ettepanek võtta vastu määrus

Artikkel 11

Komisjoni ettepanek

Muudatusettepanek

1. Vastutav töötleja kehtestab läbipaistvad isikuandmete töötlemise ja andmesubjektide õiguste kaitsmise põhimõtted ja teeb need lihtsalt kättesaadavaks.

1. Vastutav töötleja kehtestab täpsed, läbipaistvad ja selged isikuandmete töötlemise ja andmesubjektide õiguste kaitsmise põhimõtted ja teeb need lihtsalt kättesaadavaks.

2. Vastutav töötleja esitab andmesubjektile kogu teabe isikuandmete töötlemise ja sellega seotud teabevahetuse kohta, tehes seda arusaadavas vormis ning andmesubjektile kohandatud selges ja lihtsas keeles, eelkõige kui teave esitatakse lapsele.

2. Vastutav töötleja esitab andmesubjektile kogu teabe isikuandmete töötlemise ja sellega seotud teabevahetuse kohta, tehes seda arusaadavas vormis ning selges ja lihtsas keeles, eelkõige kui teave esitatakse lapsele.

Muudatusettepanek  107

Ettepanek võtta vastu määrus

Artikkel 12

Komisjoni ettepanek

Muudatusettepanek

1. Vastutav töötleja kehtestab artiklis 14 osutatud teabe esitamise ning artiklites 13 ja 15–19 nimetatud andmesubjekti õiguste kasutamise korra. Ta sätestab eelkõige mehhanismid, mille kohaselt lihtsustatakse artiklites 13 ja 15–19 osutatud toimingute tegemise taotluse esitamist. Isikuandmete automatiseeritud töötlemisel teeb vastutav töötleja kättesaadavaks vahendid, millega taotluse saab esitada elektrooniliselt.

1. Isikuandmete automatiseeritud töötlemisel teeb vastutav töötleja võimaluse korral kättesaadavaks vahendid, millega taotluse saab esitada elektrooniliselt.

2. Vastutav töötleja teavitab andmesubjekti viivitamata, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse kättesaamist, artiklites 13 ja 15–19 sätestatud toimingute tegemisest ja esitab nõutud teabe. Seda tähtaega võib pikendada ühe kuu võrra, kui oma õigust kasutavad mitu andmesubjekti ja mõistlikus ulatuses on vajalik nendepoolne koostöö, et vältida vastutava töötleja jaoks ebavajalikke ja ebaproportsionaalseid jõupingutusi. Kõnealune teave esitatakse kirjalikult. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave elektrooniliselt, kui andmesubjekt ei taotle teisiti.

2. Vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta, kuid mitte hiljem kui 40 kalendripäeva jooksul pärast taotluse kättesaamist, artiklites 13 ja 15–19 sätestatud toimingute tegemisest ja esitab nõutud teabe. Seda tähtaega võib pikendada ühe kuu võrra, kui oma õigust kasutavad mitu andmesubjekti ja mõistlikus ulatuses on vajalik nendepoolne koostöö, et vältida vastutava töötleja jaoks ebavajalikke ja ebaproportsionaalseid jõupingutusi. Kõnealune teave esitatakse kirjalikult ja võimaluse korral võib vastutav töötleja anda kaugjuurdepääsu turvalisele süsteemile, kus andmesubjekt saab otse tutvuda oma isikuandmetega. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave võimaluse korral elektrooniliselt, kui andmesubjekt ei taotle teisiti.

3. Kui vastutav töötleja otsustab andmesubjekti taotletud toimingut mitte teha, teatab ta andmesubjektile keeldumise põhjused ning selgitab talle võimalusi esitada järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid.

3. Kui vastutav töötleja ei tee andmesubjekti taotletud toimingut, teatab ta andmesubjektile tegevusetuse põhjused ning selgitab talle võimalusi esitada järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid.

 

4. Lõikes 1 osutatud taotluse alusel antud teabe ja tehtud toimingute eest tasu ei võeta. Kui taotlused on selgelt põhjendamatud, sest neid esitatakse korduvalt, võib vastutav töötleja võtta taotletud teabe andmise ja toimingute tegemise eest tasu või jätta toimingud tegemata. Sel juhul lasub vastutaval töötlejal kohustus tõendada, et taotlus on selgelt põhjendamatu.

4. Lõikes 1 osutatud taotluse alusel antud teabe ja tehtud toimingute eest tasu ei võeta. Kui taotlused on selgelt põhjendamatud, sest neid esitatakse korduvalt, võib vastutav töötleja võtta taotletud teabe andmise ja toimingute tegemise eest mõistlikku tasu, võttes arvesse halduskulusid. Sel juhul lasub vastutaval töötlejal kohustus tõendada, et taotlus on selgelt põhjendamatu.

5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, milles täpsustatakse lõikes 4 osutatud taotluse selgelt põhjendamatuks tunnistamise kriteeriumid ja tingimused ning tasu suurus.

 

6. Komisjon võib kehtestada lõikes 2 osutatud teavitamise, sealhulgas elektroonilise teavitamise tüüpvormid ja -korra. Seejuures võtab komisjon asjakohased meetmed mikro-, väikeste ja keskmise suurusega ettevõtete suhtes. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

Muudatusettepanek 108

Ettepanek võtta vastu määrus

Artikkel 13

Komisjoni ettepanek

Muudatusettepanek

Õigused vastuvõtjate ees

Teavituskohustus parandamise ja kustutamise korral

Vastutav töötleja edastab teabe andmete parandamise ja kustutamise kohta vastavalt artiklitele 16 ja 17 kõigile vastuvõtjatele, kellele andmed on avaldatud, välja arvatud juhul, kui see on võimatu või kui see nõuab ülemääraseid jõupingutusi.

Vastutav töötleja edastab teabe andmete parandamise ja kustutamise kohta vastavalt artiklitele 16 ja 17 kõigile vastuvõtjatele, kellele andmed on edastatud, välja arvatud juhul, kui see on võimatu või kui see nõuab ülemääraseid jõupingutusi. Vastutav töötleja teavitab andmesubjekti nendest vastuvõtjatest andmesubjekti taotlusel

Muudatusettepanek  109

Ettepanek võtta vastu määrus

Artikkel 13 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 13 a

 

Standardiseeritud teabepoliitika

 

1. Kui kogutakse andmesubjektiga seotud isikuandmeid, esitab vastutav töötleja andmesubjektile enne artikli 14 kohaselt teabe esitamist järgnevad üksikasjad:

 

a) kas töötlemise iga erieesmärgi saavutamiseks kogutakse isikuandmeid minimaalsest vajalikust hulgast rohkem;

 

b) kas töötlemise iga erieesmärgi saavutamiseks säilitatakse isikuandmeid minimaalsest vajalikust ajavahemikust kauem;

 

c) kas isikuandmeid töödeldakse muudel eesmärkidel kui need eesmärgid, milleks neid koguti;

d) kas isikuandmeid levitatakse äritegevusega seotud kolmandatele isikutele;

 

e) kas isikuandmeid müüakse või renditakse välja;

 

f) kas isikuandmeid säilitatakse krüptitud vormingus.

 

2. Lõikes 1 osutatud üksikasju kujutatakse X lisa kohaselt ühitatud tabelis, kasutades teksti ja sümboleid, järgnevas kolmes veerus:

 

a) esimeses veerus on graafilised kujutised, mis neid üksikasju sümboliseerivad;

 

b) teine veerg sisaldab olulist teavet, mis kirjeldab neid üksikasju;

 

c) kolmas veerg kujutab graafilisi sümboleid, mis näitavad, kas teatud tingimus on saavutatud.

 

3. Lõigetes 1 ja 2 osutatud teavet kujutatakse selgelt nähtaval ja loetaval viisil ning seda esitatakse keeles, mida mõistavad hästi liikmesriigi tarbijad, kellele teavet pakutakse. Kui üksikasju esitatakse elektrooniliselt, on need masinloetavad.

 

4. Täiendavaid üksikasju ei esitata. Lõikes 1 osutatud üksikasju puudutavaid üksikasjalikke selgitusi või täiendavaid märkusi võib artikli 14 kohaselt pakkuda koos muude teabenõuetega.

 

5. Komisjoni volitatakse vastavalt artiklile 86 võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist vastu delegeeritud õigusakte, millega täpsustatakse lõikes 1 osutatud üksikasju ja nende kujutamist, millele osutatakse lõikes 2 ja I lisas.

Muudatusettepanek  110

Ettepanek võtta vastu määrus

Artikkel 14

Komisjoni ettepanek

Muudatusettepanek

Andmesubjekti teavitamine

Andmesubjekti teavitamine

1. Andmesubjektile, kelle isikuandmeid kogutakse, teeb vastutav töötleja teatavaks vähemalt järgmise:

1. Andmesubjektile, kelle isikuandmeid kogutakse, teeb vastutav töötleja pärast artikli 13 a kohaste üksikasjade esitamist teatavaks vähemalt järgmise:

 

a) vastutava töötleja ning vajaduse korral töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

a) vastutava töötleja ning vajaduse korral töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b) töötlemise eesmärk, mille jaoks isikuandmeid kasutatakse, sealhulgas lepingu- ja üldtingimused, kui töötlemine põhineb artikli 6 lõike 1 punktil b, ning vastutava töötleja õigustatud huvi, kui töötlemine põhineb artikli 6 lõike 1 punktil f;

b) töötlemise eesmärk, mille jaoks isikuandmeid kasutatakse, ja teave isikuandmete töötlemise turvalisuse kohta, sealhulgas lepingu- ja üldtingimused, kui töötlemine põhineb artikli 6 lõike 1 punktil b, ning vajaduse korral teave selle kohta, kuidas rakendatakse artikli 6 lõike 1 punktis f osutatud nõudeid ja neid järgitakse;

c) isikuandmete säilitamise tähtaeg;

c) isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, sellise tähtaja määramise kriteeriumid;

d) andmesubjekti õigus taotleda vastutavalt töötlejalt juurdepääsu oma isikuandmetele ning nende parandamist või kustutamist ning vaidlustada oma isikuandmete töötlemist;

d) andmesubjekti õigus taotleda vastutavalt töötlejalt juurdepääsu oma isikuandmetele ning nende parandamist või kustutamist, vaidlustada oma isikuandmete töötlemist või andmeid saada;

e) andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

e) andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

f) isikuandmete vastuvõtjad või vastuvõtjate liigid;

f) isikuandmete vastuvõtjad või vastuvõtjate liigid;

g) vajaduse korral selle, et vastutav töötleja kavatseb edastada isikuandmed kolmandasse riiki või rahvusvahelisele organisatsioonile, ning isikuandmete kaitse taseme kolmandas riigis või rahvusvahelises organisatsioonis, osutades piisavat kaitset käsitlevale komisjoni otsusele;

g) vajaduse korral selle, et vastutav töötleja kavatseb edastada andmed kolmandasse riiki või rahvusvahelisele organisatsioonile ning piisavat kaitset käsitleva komisjoni otsuse olemasolu või puudumise, või artiklites 42 või 43 või artikli 44 lõike 1 punktis h osutatud edastamise korral viite asjakohastele kaitsemeetmetele ja nende koopia saamise viisile;

 

g a) vajaduse korral teave profiilianalüüsi olemasolu, profiilianalüüsil põhinevate meetmete ja profiilianalüüsi kavandatava mõju kohta andmesubjektile;

 

g b) oluline teave igasuguses automatiseeritud töötlemises aluseks oleva loogika kohta;

h) muu teave, mis on vajalik andmesubjekti õigusi arvestava andmetöötluse tagamiseks, võttes arvesse isikuandmete kogumise konkreetset olukorda.

h) muu teave, mis on vajalik andmesubjekti õigusi arvestava andmetöötluse tagamiseks, võttes arvesse isikuandmete kogumise või töötlemise konkreetset olukorda, eelkõige teatavate töötlemistoimingute olemasolu, mis võivad isikuandmete mõju hinnangu kohaselt olla suure riskiga;

 

h a) vajaduse korral teave selle kohta, kas isikuandmeid anti viimase järjestikuse 12kuulise ajavahemiku jooksul avaliku sektori asutustele.

2. Juhul kui isikuandmed kogutakse andmesubjektilt, teatab vastutav töötleja talle lisaks lõikes 1 osutatud teabele, kas isikuandmete esitamine on kohustuslik või vabatahtlik, ning andmete esitamata jätmise võimalikud tagajärjed.

2. Juhul kui isikuandmed kogutakse andmesubjektilt, teatab vastutav töötleja talle lisaks lõikes 1 osutatud teabele, kas isikuandmete esitamine on kohustuslik või vabatahtlik, ning andmete esitamata jätmise võimalikud tagajärjed.

 

2 a. Otsustamaks, millist täpsustavat teavet on vaja, et töötlemine oleks lõike 1 punkti h kohaselt õiglane, järgivad vastutavad töötlejad artiklis 38 sätestatud asjakohaseid juhiseid.

3. Juhul kui isikuandmed ei ole kogutud andmesubjektilt, teeb vastutav töötleja andmesubjektile lisaks lõikes 1 osutatud teabele teatavaks ka isikuandmete allika.

3. Juhul kui isikuandmed ei ole kogutud andmesubjektilt, teeb vastutav töötleja andmesubjektile lisaks lõikes 1 osutatud teabele teatavaks ka konkreetse isikuandmete allika. Kui isikuandmed on pärit avalikult kättesaadavatest allikatest, võib esitada üldist teavet.

4. Vastutav töötleja esitab lõigetes 1, 2 ja 3 osutatud teabe:

4. Vastutav töötleja esitab lõigetes 1, 2 ja 3 osutatud teabe:

a) andmesubjektilt andmete saamise ajal või

a) andmesubjektilt andmete saamise ajal või, kui eelnev ei ole teostatav, põhjendamatu viivituseta või

 

a a) artiklis 73 osutatud asutuse, organisatsiooni või ühenduse taotlusel;

b) kui isikuandmed ei ole kogutud andmesubjektilt, siis andmete salvestamise ajal või mõistliku aja jooksul pärast nende kogumist, võttes arvesse andmete kogumise või muul viisil töötlemise konkreetset olukorda ning seda, kas andmeid kavatsetakse avaldada mõnele teisele vastuvõtjale, kuid hiljemalt andmete esmakordse avalikustamise ajal.

b) kui isikuandmed ei ole kogutud andmesubjektilt, siis andmete salvestamise ajal või mõistliku aja jooksul pärast nende kogumist, võttes arvesse andmete kogumise või muul viisil töötlemise konkreetset olukorda ning seda, kas andmeid kavatsetakse edastada mõnele teisele vastuvõtjale, kuid hiljemalt kas andmete esmakordse edastamise ajal või kui andmeid kasutatakse teabevahetuseks asjaomase andmesubjektiga, hiljemalt esimese teabevahetuse ajaks selle andmesubjektiga, või

 

b a) ainult taotluse korral, kui andmeid töötleb selline väike- või mikroettevõte, kes töötleb isikuandmeid üksnes kõrvaltegevusena.

5. Lõikeid 1–4 ei kohaldata, kui

5. Lõikeid 1–4 ei kohaldata, kui

a) andmesubjekt on juba saanud lõigetes 1, 2 ja 3 osutatud teabe või

a) andmesubjekt on juba saanud lõigetes 1, 2 ja 3 osutatud teabe või

b) andmed ei ole kogutud andmesubjektilt ja sellise teabe esitamine on võimatu või nõuab ülemääraseid jõupingutusi või

b) andmeid töödeldakse ajaloo- või statistikauurimuste või teadustöö eesmärgil, mille suhtes kohaldatakse artiklis 81 ja 83 osutatud tingimusi ja kaitsemeetmeid, andmed ei ole kogutud andmesubjektilt ja sellise teabe esitamine on võimatu või nõuab ülemääraseid jõupingutusi ning vastutav töötleja on avaldanud teabe, mis on kõigile kättesaadav või

c) andmed ei ole kogutud andmesubjektilt ja selliste andmete salvestamine või avalikustamine on õigusaktides selgelt sätestatud või

c) andmed ei ole kogutud andmesubjektilt ja selliste andmete salvestamine või avalikustamine on selgelt sätestatud vastutava töötleja suhtes kohaldatavates õigusaktides, millega nähakse ette asjakohased meetmed andmesubjekti õiguspäraste huvide kaitsmiseks, arvestades töötlemisega seotud riske ja isikuandmete iseloomu, või

d) andmed ei ole kogutud andmesubjektilt ja sellise teabe esitamine kahjustaks vastavalt artiklile 21 liidu õiguses ja liikmesriikide õiguses sätestatud teiste isikute õigusi ja vabadusi.

d) andmed ei ole kogutud andmesubjektilt ja sellise teabe esitamine kahjustaks vastavalt artiklile 21 liidu õiguses ja liikmesriikide õiguses sätestatud teiste füüsiliste isikute õigusi ja vabadusi;

 

d a) andmeid töötleb isik või nad usaldatakse või saavad teatavaks isikule, kellel on liidu või liikmesriigi õigusega reguleeritav ametisaladuse hoidmise kohustus või õigusaktidega sätestatud saladuse hoidmise kohustus, välja arvatud juhul, kui andmeid kogutakse andmesubjektilt endalt.

6. Lõike 5 punktis b osutatud juhul näeb vastutav töötleja ette meetmed andmesubjekti õigustatud huvi kaitsmiseks.

6. Lõike 5 punktis b osutatud juhul näeb vastutav töötleja ette meetmed andmesubjekti õiguste või õigustatud huvi kaitsmiseks.

7. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, milles täpsustatakse lõike 1 punktis f osutatud vastuvõtjate liigitamise kriteeriumid, lõike 1 punktis g osutatud juurdepääsuvõimalusest teavitamise nõuded, lõike 1 punktis h osutatud täiendava teabe esitamise vajaduse kindlaksmääramise kriteeriumid sektorite ja olukordade kaupa ning kaitsemeetmed lõike 5 punktis b sätestatud erandite puhuks. Komisjon võtab seejuures meetmed, mis on mikro-, väikeste ja keskmise suurusega ettevõtete suhtes asjakohased.

 

8. Komisjon võib kehtestada tüüpvormid lõigetes 1–3 osutatud teabe esitamiseks, võttes vajaduse korral arvesse eri sektorite omadusi ja vajadusi ning isikuandmete töötlemise olukordi. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

Muudatusettepanek  111

Ettepanek võtta vastu määrus

Artikkel 15

Komisjoni ettepanek

Muudatusettepanek

Andmesubjekti õigus tutvuda andmetega

Andmesubjekti õigus tutvuda andmetega ja andmeid saada

1. Andmesubjektil on õigus igal ajal saada vastutavalt töötlejalt taotluse alusel kinnitus selle kohta, kas tema isikuandmeid töödeldakse või mitte. Juhul kui andmesubjekti isikuandmeid töödeldakse, esitab vastutav töötleja talle järgmise teabe:

1. Kooskõlas artikli 12 lõikega 4 on andmesubjektil õigus igal ajal saada vastutavalt töötlejalt taotluse alusel kinnitus selle kohta, kas tema isikuandmeid töödeldakse või mitte ning selges ja lihtsas keeles järgmist teavet:

a) töötlemise eesmärk,

a) töötlemise eesmärk iga isikuandmete liigi puhul;

b) töödeldavate isikuandmete liigid;

b) töödeldavate isikuandmete liigid;

c) millistele või mis liiki vastuvõtjatele isikuandmeid avalikustatakse või on avalikustatud, eelkõige teave kolmandates riikides olevate vastuvõtjate kohta;

c) millistele vastuvõtjatele isikuandmeid avalikustatakse või on avalikustatud, sealhulgas teave kolmandates riikides olevate vastuvõtjate kohta;

d) isikuandmete säilitamise tähtaeg;

d) isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, sellise tähtaja määramise kriteeriumid;

e) andmesubjekti õigus taotleda vastutavalt töötlejalt oma isikuandmete parandamist või kustutamist, ning vaidlustada oma isikuandmete töötlemine;

e) andmesubjekti õigus taotleda vastutavalt töötlejalt oma isikuandmete parandamist või kustutamist, ning vaidlustada oma isikuandmete töötlemine;

f) andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

f) andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

g) teave töödeldavate isikuandmete kohta ja olemasoleva teave andmete allika kohta;

 

h) vähemalt artiklis 20 osutatud meetmete puhul töötlemise tähtsus ja ettenähtavad tagajärjed.

h) töötlemise tähtsus ja ettenähtavad tagajärjed.

 

h a) oluline teave igasuguses automatiseeritud töötlemises aluseks oleva loogika kohta;

 

h b) kui avaliku sektori asutusele avaldatakse isikuandmeid avaliku sektori asutuse taotluse tagajärjel, kinnitus asjaolu kohta, et selline taotlus on esitatud, ilma et see piiraks artikli 21 kohaldamist.

2. Andmesubjektil on õigus saada vastutavalt töötlejalt teada, milliseid isikuandmeid töödeldakse. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave elektrooniliselt, kui andmesubjekt ei taotle teisiti.

2. Andmesubjektil on õigus saada vastutavalt töötlejalt teada, milliseid isikuandmeid töödeldakse. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave elektrooniliselt ja struktureeritud vormingus, kui andmesubjekt ei taotle teisiti. Ilma et see piiraks artikli 10 kohaldamist, võtab vastutav töötleja kõik mõistlikud meetmed, et kontrollida, kas andmetega tutvumist taotlev isik on andmesubjekt.

 

2 a. Kui andmesubjekt on andnud isikuandmeid nende elektroonilise töötlemise korral, on tal õigus saada vastutavalt töötlejalt esitatud isikuandmete elektrooniline koostalitlusvõimelises üldkasutatavas vormingus koopia, mis võimaldab andmesubjektil seda kasutada, ilma et seda takistaks vastutav töötleja, kellelt isikuandmed on võetud. Isikuandmeid edastatakse ühelt vastutavalt töötlejalt otse teisele vastutavale töötlejale andmesubjekti taotlusel, kui see on tehniliselt teostatav ja andmed on kättesaadavad.

 

2 b. Käesolev artikkel ei piira artikli 5 esimese lõigu punktile e vastavat kohustust kustutada andmed, kui need ei ole enam vajalikud.

 

2 c. Andmetega tutvumise õigus vastavalt lõigetele 1 ja 2 puudub, kui on tegemist artikli 14 lõike 5 punkti d a kohaste andmetega, välja arvatud juhul, kui andmesubjektil on volitus tühistada kõnealune saladuse kaitseks kehtestatud piirang ning kui ta selle kohaselt ka tegutseb.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada kriteeriume ja nõudeid, millest lähtutakse lõike 1 punktis g osutatud isikuandmete sisu teatamisel andmesubjektile.

 

4. Komisjon võib kehtestada tüüpvormid ja -korra lõikes 1 osutatud teabele juurdepääsu taotlemiseks ja võimaldamiseks, sealhulgas edastatavate isikuandmete subjekti tuvastamiseks, võttes arvesse eri sektorite omadusi ja vajadusi ning isikuandmete töötlemise olukordi. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

Muudatusettepanek  112

Ettepanek võtta vastu määrus

Artikkel 17

Komisjoni ettepanek

Muudatusettepanek

Õigus olla unustatud ja õigus andmete kustutamisele

Õigus andmete kustutamisele

1. Andmesubjektil on õigus nõuda vastutavalt töötlejalt enda isikuandmete kustutamist ning levitamisest hoidumist, eriti kui tegemist on isikuandmetega, mille andmesubjekt tegi teatavaks lapsena, järgmistel põhjustel:

1. Andmesubjektil on õigus nõuda vastutavalt töötlejalt enda isikuandmete kustutamist ning levitamisest hoidumist ning saavutada niisugustele andmetele osutavate linkide ning andmekoopiate ja -korduste kustutamine kolmandate isikute poolt järgmistel põhjustel:

a) andmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

a) andmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

b) andmesubjekt tühistab töötlemiseks antud nõusoleku vastavalt artikli 6 lõike 1 punktile a või kui nõusolekukohane andmete talletamise tähtaeg lõppenud ning puudub muu õiguslik alus andmete töötlemiseks;

b) andmesubjekt tühistab töötlemiseks antud nõusoleku vastavalt artikli 6 lõike 1 punktile a või kui nõusolekukohane andmete talletamise tähtaeg lõppenud ning puudub muu õiguslik alus andmete töötlemiseks;

c) andmesubjekt vaidlustab isikuandmete töötlemise artikli 19 kohaselt;

c) andmesubjekt vaidlustab isikuandmete töötlemise artikli 19 kohaselt;

 

c a) Euroopa Liidus asuva kohtu või reguleeriva asutuse lõpliku otsuse kohaselt tuleb asjaomased andmed kustutada;

d) andmete töötlemine ei vasta käesolevale määrusele muudel põhjustel.

d) andmeid on töödeldud ebaseaduslikult.

 

1 a. Lõike 1 kohaldamine sõltub vastutava töötleja suutlikkusest kontrollida, kas andmete kustutamist taotlev isik on andmesubjekt.

2. Juhul kui lõikes 1 osutatud vastutav töötleja on isikuandmed avalikustanud, peab ta enda avaldatud andmete suhtes võtma tarvitusele kõik mõistlikud abinõud, sealhulgas tehnilised meetmed, et teavitada kõnealuseid andmeid töötlevaid kolmandaid isikuid sellest, et andmesubjekt taotleb neilt kõnealustele andmetele osutavate linkide ning andmekoopiate ja -korduste kustutamist. Kui vastutav töötleja on andnud kolmandale isikule loa isikuandmeid avaldada, vastutab avalikustamise eest vastutav töötleja.

2. Juhul kui lõikes 1 osutatud vastutav töötleja on isikuandmed avalikustanud ilma artikli 6 lõikel 1 põhineva põhjenduseta, võtab ta kõik mõistlikud meetmed andmete kustutamiseks, sealhulgas kolmandate isikute poolt, ilma et see piiraks artikli 77 kohaldamist. Vastutav töötleja teavitab võimaluse korral andmesubjekti asjaomaste kolmandate isikute võetud meetmetest.

3. Vastutav töötleja peab isikuandmed viivitamatult kustutama, välja arvatud sellised andmed, mida tuleb säilitada:

3. Vastutav töötleja ning vajaduse korral kolmas isik peab isikuandmed viivitamatult kustutama, välja arvatud sellised andmed, mida tuleb säilitada:

a) sõnavabaduse õiguse teostamiseks vastavalt artiklile 80

a) sõnavabaduse õiguse teostamiseks vastavalt artiklile 80

b) avaliku huvi kaitsmiseks tervishoiu valdkonnas vastavalt artiklile 81;

b) avaliku huvi kaitsmiseks tervishoiu valdkonnas vastavalt artiklile 81;

c) ajaloo- ja statistikauurimuste ning teadustöö jaoks vastavalt artiklile 83;

c) ajaloo- ja statistikauurimuste ning teadustöö jaoks vastavalt artiklile 83;

d) vastavalt liidu või liikmesriigi õigusest tulenevale vastutava töötleja kohustusele säilitada isikuandmeid, liikmesriigi õigusaktid peavad lähtuma avaliku huvi kaitsmise eesmärgist ja põhimõttest, et isikuandmete kaitse on õigus, ning olema proportsionaalsed taotletava õiguspärase eesmärgiga;

d) vastavalt liidu või liikmesriigi õigusest tulenevale vastutava töötleja kohustusele säilitada isikuandmeid, liikmesriigi õigusaktid peavad lähtuma avaliku huvi kaitsmise eesmärgist ja põhimõttest, et isikuandmete kaitse on õigus, ning olema proportsionaalsed taotletava õiguspärase eesmärgiga;

e) lõikes 4 osutatud juhtudel.

e) lõikes 4 osutatud juhtudel.

4. Vastutav töötleja piirab isikuandmete töötlemist nende kustutamise asemel, kui:

4. Vastutav töötleja piirab isikuandmete töötlemist nende kustutamise asemel sellisel viisil, et vastutav töötleja ei saa tavapärasel viisil nendega tutvuda, teha nendega töötlemistoiminguid ega neid enam muuta, kui:

a) andmesubjekt seab kahtluse alla nende täpsuse; täpsemalt piiratakse siis andmete töötlemine nii kauaks, kuni vastutav töötleja on kontrollinud nende täpsust;

a) andmesubjekt seab kahtluse alla nende täpsuse; täpsemalt piiratakse siis andmete töötlemine nii kauaks, kuni vastutav töötleja on kontrollinud nende täpsust;

b) vastutav töötleja ei vaja enam isikuandmeid oma ülesande täitmiseks, kuid andmeid tuleb säilitada tõendamise eesmärgil;

b) vastutav töötleja ei vaja enam isikuandmeid oma ülesande täitmiseks, kuid andmeid tuleb säilitada tõendamise eesmärgil;

c) töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle nende kustutamist, vaid nende kasutamise piiramist;

c) töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle nende kustutamist, vaid nende kasutamise piiramist;

 

c a) Euroopa Liidus asuva kohtu või reguleeriva asutuse lõpliku otsuse kohaselt tuleb asjaomaseid andmeid piirata;

d) andmesubjekt taotleb oma isikuandmete edastamist teise automatiseeritud töötlemise süsteemi vastavalt artikli 18 lõikele 2.

d) andmesubjekt taotleb oma isikuandmete edastamist teise automatiseeritud töötlemise süsteemi vastavalt artikli 15 lõikele 2 a;

 

d a) konkreetne säilitamistehnoloogia ei võimalda kustutamist ja oli installeeritud enne käesoleva määruse jõustumist.

5. Lõikes 4 osutatud isikuandmete töötlemine, välja arvatud säilitamine, on lubatud ainult tõendamise eesmärgil, andmesubjekti nõusolekul ja teise füüsilise või juriidilise isiku õiguste või avaliku huvi kaitsmiseks.

5. Lõikes 4 osutatud isikuandmete töötlemine, välja arvatud säilitamine, on lubatud ainult tõendamise eesmärgil, andmesubjekti nõusolekul ja teise füüsilise või juriidilise isiku õiguste või avaliku huvi kaitsmiseks.

6. Juhul kui isikuandmete töötlemine on lõike 4 kohaselt piiratud, teavitab vastutav töötleja andmesubjekti enne töötlemise piirangute kõrvaldamist.

6. Juhul kui isikuandmete töötlemine on lõike 4 kohaselt piiratud, teavitab vastutav töötleja andmesubjekti enne töötlemise piirangute kõrvaldamist.

7. Vastutav töötleja rakendab mehhanismid, millega tagatakse isikuandmete kustutamise ja/või säilitusvajaduse korrapärase läbivaatamise tähtajast kinnipidamine.

 

8. Juhul kui isikuandmed kustutatakse, ei töötle vastutav töötleja neid muul viisil.

8. Juhul kui isikuandmed kustutatakse, ei töötle vastutav töötleja neid muul viisil.

 

8 a. Vastutav töötleja rakendab mehhanismid, millega tagatakse isikuandmete kustutamise ja/või säilitusvajaduse korrapärase läbivaatamise tähtajast kinnipidamine.

9. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse:

9. Komisjoni volitatakse vastavalt artiklile 86 võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist vastu delegeeritud õigusakte, millega täpsustatakse:

a) kriteeriume ja tingimusi, millest lähtutakse lõike 1 kohaldamisel eri sektorites ja andmetöötlusolukordades;

a) kriteeriume ja tingimusi, millest lähtutakse lõike 1 kohaldamisel eri sektorites ja andmetöötlusolukordades;

b) lõikes 2 osutatud üldkasutatavate kommunikatsiooniteenuste käsutuses olevatele isuandmetele osutavate linkide ning andmekoopiate ja -korduste kustutamise tingimused;

b) lõikes 2 osutatud üldkasutatavate kommunikatsiooniteenuste käsutuses olevatele isuandmetele osutavate linkide ning andmekoopiate ja -korduste kustutamise tingimused;

c) lõikes 4 osutatud isikuandmete töötlemise piiramise tingimused.

c) lõikes 4 osutatud isikuandmete töötlemise piiramise tingimused.

Muudatusettepanek  113

Ettepanek võtta vastu määrus

Artikkel 18

Komisjoni ettepanek

Muudatusettepanek

Isikuandmete ülekantavus

välja jäetud

1. Struktureeritud ja üldkasutatavas vormingus olevate isikuandmete elektroonilise töötlemise korral on andmesubjektil õigus saada vastutavalt töötlejalt töödeldavate andmete elektrooniline struktureeritud ja üldkasutatavas vormingus koopia, mida andmesubjekt saab omakorda kasutada.

 

2. Kui andmesubjekt on andnud oma isikuandmed ja neid töödeldakse nõusoleku või lepingu alusel, on tal õigus neid isikuandmeid ning mis tahes muud tema esitatud ja automatiseeritud andmetöötlussüsteemis üldkasutatavas elektroonilises vormingus säilitatavat teavet edastada teise sellisesse süsteemi, ilma et seda takistaks vastutav töötleja, kelle süsteemist andmed pärinevad.

 

3. Komisjon võib kindlaks määrata lõikes 1 osutatud elektroonilise vormingu ning isikuandmete lõike 2 kohase edastamise tehnilised standardid ja korra. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

Muudatusettepanek  114

Ettepanek võtta vastu määrus

Artikkel 19

Komisjoni ettepanek

Muudatusettepanek

Vaidlustamisõigus

Vaidlustamisõigus

1. Andmesubjektil on õigus igal ajal konkreetsest olukorrast lähtudes vaidlustada isikuandmete töötlemine artikli 6 lõike 1 punktide d, e ja f alusel, välja arvatud juhul, kui vastutav töötleja tõendab, et töötlemine toimub täiesti õiguspärasel alusel, mis kaalub üles andmesubjekti huvid ning põhiõigused ja vabadused.

1. Andmesubjektil on õigus igal ajal vaidlustada isikuandmete töötlemine artikli 6 lõike 1 punktide d ja e alusel, välja arvatud juhul, kui vastutav töötleja tõendab, et töötlemine toimub täiesti õiguspärasel alusel, mis kaalub üles andmesubjekti huvid ning põhiõigused ja vabadused.

2. Isikuandmete töötlemisel otseturunduse eesmärgil on andmesubjektil õigus tasuta vaidlustada oma isikuandmete töötlemine nimetatud eesmärgil. Kõnealune õigus antakse andmesubjektile arusaadaval viisil ja muust teabest selgelt eraldi.

2. Kui isikuandmete töötlemise aluseks on artikli 6 lõike 1 punkt f, on andmesubjektil õigus igal ajal ja täiendava põhjenduseta tasuta vaidlustada oma isikuandmete töötlemine üldiselt või mis tahes konkreetsel eesmärgil.

 

2 a. Lõikes 2 osutatud õigus antakse andmesubjektile arusaadaval viisil ja arusaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele antava teabe puhul, ja muust teabest selgelt eraldi.

 

2 b. Infoühiskonna teenuste kasutamise kontekstis ja olenemata direktiivi 2002/58/EÜ sätetest võib vaidlustamisõigust kasutada automatiseeritult, kasutades tehnilist standardit, mis võimaldab andmesubjektil oma soove selgelt väljendada.

3. Kui vaidlustamine on põhjendatud vastavalt lõigetele 1 ja 2, ei tohi vastutav töötleja selliseid isikuandmeid enam kasutada ega muul viisil töödelda.

3. Kui vaidlustamine on põhjendatud vastavalt lõigetele 1 ja 2, ei tohi vastutav töötleja selliseid isikuandmeid enam kasutada ega muul viisil töödelda vaidlustamises esitatud eesmärgil.

(Komisjoni teksti lõike 2 viimasest lausest sai parlamendi muudatusettepanekus lõige 2 a).

Muudatusettepanek  115

Ettepanek võtta vastu määrus

Artikkel 20

Komisjoni ettepanek

Muudatusettepanek

Profiilianalüüsil põhinevad meetmed

Profiilianalüüs

1. Füüsilisel isikul on õigus vältida tema suhtes õiguslike tagajärgedega või teda märkimisväärselt mõjutavat meedet, mis põhineb üksnes automaatsel töötlemisel, millega hinnatakse füüsilise isiku teatavaid isiklikke aspekte või analüüsitakse või prognoositakse tema tööpanust, majanduslikku olukorda, asukohta, tervist, eelistusi, usaldusväärsust ja käitumist.

1. Ilma et see piiraks artikli 6 sätete kohaldamist, on füüsilisel isikul õigus vaidlustada profiilianalüüs kooskõlas artikliga 19. Andmesubjekte teavitatakse õigusest profiilianalüüs vaidlustada väga hästi nähtaval viisil.

2. Vastavalt käesoleva määruse teistele sätetele võib isiku suhtes võtta lõikes 1 osutatud meetmena käsitatavat meedet ainult juhul, kui töötlemine:

2. Vastavalt käesoleva määruse teistele sätetele võib isiku suhtes teostada profiilianalüüsi, mis viib andmesubjekti puudutavaid õiguslikke tagajärgi põhjustavate meetmeteni või mõjutab oluliselt asjaomase andmesubjekti huvisid, õigusi või vabadusi, ainult juhul, kui töötlemine:

a) toimub lepingu sõlmimise või täitmise ajal pärast seda, kui on rahuldatud andmesubjekti taotlus leping sõlmida või asuda seda täitma või kui andmesubjekti õigustatud huvi kaitsmiseks on võetud asjakohased meetmed, näiteks tänu õigusele otsesele isiklikule kontaktile, või

a) on vajalik lepingu sõlmimiseks või täitmiseks pärast seda, kui on rahuldatud andmesubjekti taotlus leping sõlmida või asuda seda täitma, tingimusel et andmesubjekti õigustatud huvi kaitsmiseks on võetud asjakohased meetmed, või

b) on selgesõnaliselt lubatud liidu või liikmesriigi õigusega, milles on sätestatud ka meetmed andmesubjekti õigustatud huvi kaitsmiseks, või

b) on lubatud liidu või liikmesriigi õigusega, milles on sätestatud ka meetmed andmesubjekti õigustatud huvi kaitsmiseks,

c) põhineb andmesubjekti nõusolekul, kui on täidetud artiklis 7 sätestatud tingimused ja võetud sobivad kaitsemeetmed.

c) põhineb andmesubjekti nõusolekul, kui on täidetud artiklis 7 sätestatud tingimused ja võetud sobivad kaitsemeetmed.

3. Isikuandmete automaatne töötlemine füüsilise isiku isiklike aspektide hindamiseks ei põhine ainult artiklis 9 osutatud isikuandmete eriliikidel.

3. Profiilianalüüs, mille tulemusena diskrimineeritakse isikuid nende rassi, etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, seksuaalse sättumuse või soolise identiteedi alusel või mille tulemuseks on meetmed, millega saavutatakse eespool kirjeldatud tagajärjed, keelustatakse. Vastutav töötleja rakendab tõhusat kaitset võimaliku profiilianalüüsist tuleneva diskrimineerimise eest. Profiilianalüüs ei põhine ainult artiklis 9 osutatud isikuandmete eriliikidel.

4. Lõikes 2 osutatud juhtudel esitab vastutav töötleja artikli 14 kohase teavitamise korral teabe selle kohta, kas töötlemine toimub lõikes 1 osutatud eesmärgil ning millist mõju võib selline töötlemine avaldada andmesubjektile.

 

5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse andmesubjekti lõikes 2 osutatud õigustatud huvi kaitsmiseks sobivate meetmete võtmise kriteeriumid ja tingimused.

5. Selline profiilianalüüs, mis viib andmesubjekti puudutavaid õiguslikke tagajärgi põhjustavate meetmeteni või mõjutab oluliselt asjaomase andmesubjekti huvisid, õigusi või vabadusi, ei põhine üksnes või enamjaolt automatiseeritud töötlemisel ning peab hõlmama otsest isiklikku kontakti, sealhulgas pärast isiklikku kontakti tehtud otsuse selgitust. Andmesubjekti lõikes 2 osutatud õigustatud huvi kaitsmiseks sobivad meetmed hõlmavad õigust isiklikule kontaktile ning õigust pärast isiklikku kontakti tehtud otsuse selgitusele.

 

5 a. Euroopa Andmekaitsenõukogule usaldatakse artikli 66 lõike 1 punkti b kohaste suuniste, soovituste ja parimate tavade avaldamine, et täpsustada lõikel 2 põhineva profiilianalüüsi kriteeriume ja nõudeid.

Muudatusettepanek  116

Ettepanek võtta vastu määrus

Artikkel 21

Komisjoni ettepanek

Muudatusettepanek

Piirangud

Piirangud

1. Liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artikli 5 punktides a–e, artiklites 11–20 ja artiklis 32 sätestatud kohustuste ja õiguste ulatust, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada:

1. Liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 11–19 ja artiklis 32 sätestatud kohustuste ja õiguste ulatust, kui selline piirang vastab selgelt määratletud avaliku huvi eesmärgile, austab õigust isikuandmete kaitsele, on proportsionaalne taotletava õiguspärase eesmärgiga ning austab andmesubjekti põhiõigusi ja huve ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada:

a) avalik julgeolek,

a) avalik julgeolek,

b) kuritegude ennetamine, uurimine, avastamine ja kuritegude eest vastutuselevõtmine;

b) kuritegude ennetamine, uurimine, avastamine ja kuritegude eest vastutuselevõtmine;

c) liidu ja liikmesriigi muude avalike huvide kaitsmine, eelkõige liidu ja liikmesriigi olulised majanduslikud ja finantshuvid, sealhulgas rahandus-, eelarve- ja maksuküsimused ning turu stabiilsuse ja tervikluse kaitse;

c) maksuküsimused;

d) reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutuselevõtmine;

d) reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutuselevõtmine;

e) jälgimine, kontrollimine ja regulatiivsete ülesannete täitmine, mis on kas või ajutiselt seotud avaliku võimu teostamisega punktides a, b, c ja d osutatud juhtudel;

e) jälgimine, kontrollimine ja regulatiivsete ülesannete täitmine pädeva avaliku sektori asutuse tegevuse raames punktides a, b, c ja d osutatud juhtudel;

f) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse.

f) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse.

2. Lõikes 1 osutatud seadusandliku meetmega sätestatakse vähemalt töötlemise eesmärgid ja vastutava töötleja kindlaksmääramise viis.

2. Lõikes 1 osutatud seadusandlikud meetmed peavad olema demokraatlikus ühiskonnas vajalikud ja proportsionaalsed ning nendega sätestatakse vähemalt:

 

a) töötlemise eesmärgid;

 

b) vastutava töötleja kindlaksmääramise viis;

 

c) töötlemise konkreetsed eesmärgid ja vahendid;

 

d) kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist vältivad kaitsemeetmed;

 

e) andmesubjektide õigus olla piirangutest teavitatud.

 

2 a. Lõikes 1 osutatud seadusandlikud meetmed ei tohi lubada eraõiguslikel töötlejail hoida andmeid peale nende, mis on algse eesmärgi jaoks rangelt vajalikud, ega neid selleks kohustada.

(Komisjoni teksti lõike 2 viimastest sõnadest said parlamendi muudatusettepanekus punktid a ja b).

Muudatusettepanek  117

Ettepanek võtta vastu määrus

Artikkel 22

Komisjoni ettepanek

Muudatusettepanek

Vastutava töötleja ülesanded

Vastutava töötleja ülesanded ja vastutus

1. Vastutav töötleja võtab vastu põhimõtted ja rakendab meetmeid, mis võimaldavad tagada ja tõendada, et isikuandmete töötlemine on käesoleva määrusega kooskõlas.

1. Vastutav töötleja võtab vastu asjakohased põhimõtted ning rakendab asjakohaseid ja tõendatavaid tehnilisi ja organisatsioonilisi meetmeid, mis võimaldavad tagada ja läbipaistvalt tõendada, et isikuandmete töötlemine on käesoleva määrusega kooskõlas, võttes arvesse tehnika arengut, töödeldavate isikuandmete olemust, töötlemise konteksti, ulatust ja eesmärke, andmesubjektide õiguste ja vabadustega seotud riske ja organisatsiooni liiki nii töötlemisvahendite valikul kui ka töötlemise ajal.

 

1 a. Võttes arvesse tehnika arengut ja juurutamise kulusid, tuleb vastutaval töötlejal võtta kõik mõistlikud meetmed selliste vastavuspõhimõtete ja -menetluste rakendamiseks, millega austatakse andmesubjektide sõltumatuid valikuid. Vastavuskontrolli põhimõtted vaadatakse läbi vähemalt kord kahe aasta jooksul ja vajadusel ajakohastatakse.

2. Lõikes 1 sätestatud meetmete hulka kuuluvad eelkõige:

 

a) dokumenteerimine vastavalt artiklile 28;

 

b) artiklis 30 sätestatud andmeturbenõuete rakendamine;

 

c) isikuandmete kaitsele avaldatava mõju hindamine vastavalt artiklile 33;

 

d) artikli 34 lõigete 1 ja 2 kohase eelneva loa taotlemise ja järelevalveasutusega eelneva konsulteerimise nõude täitmine;

 

e) andmekaitseametniku määramine vastavalt artikli 35 lõikele 1.

 

3. Vastutav töötleja rakendab mehhanismid lõigetes 1 ja 2 osutatud meetmete tõhususe kontrollimiseks. Kontrolli teostavad sõltumatud sise- või välisaudiitorid, kui see on proportsionaalne.

3. Vastutav töötleja suudab tõendada lõigetes 1 ja 2 osutatud meetmete piisavust ja tõhusust. Vastutava töötleja korrapärased tegevuse üldaruanded, näiteks börsil noteeritud äriühingute kohustuslikud aruanded, peavad sisaldama lõikes 1 osutatud põhimõtete ja meetmete kokkuvõtvat kirjeldust.

 

3 a. Vastutaval töötlejal on õigus edastada isikuandmeid Euroopa Liidus selle kontserni sees, kuhu ta kuulub, kui selline töötlemine on vajalik kontsernisiseste õiguspäraste halduseesmärkide täitmiseks kontserniga seotud ärivaldkondades ning tagatakse piisaval tasemel isikuandmete ja andmesubjektide huvide kaitse kontsernisiseste andmekaitsealaste sätetega või artiklis 38 osutatud samaväärsete toimimisjuhenditega.

4. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud meetmete otstarbekuse kindlakstegemise kriteeriume ja nõudeid lisaks lõikes 2 osutatud kriteeriumidele ja nõuetele, lõikes 3 osutatud kontrollimise ja auditeerimise mehhanismide tingimusi ning proportsionaalsuse kriteeriume, kaaludes erimeetmete võtmist mikro-, väikeste ja keskmise suurusega ettevõtete jaoks.

 

Muudatusettepanek  118

Ettepanek võtta vastu määrus

Artikkel 23

Komisjoni ettepanek

Muudatusettepanek

Isikuandmete lõimitud kaitse ja vaikimisi kaitse

Isikuandmete lõimitud kaitse ja vaikimisi kaitse

1. Võttes arvesse tehnika arengut ja juurutamise kulusid, võtab vastutav töötleja töötlemisvahendite valikul ja töötlemise käigus selliseid tehnilisi ja organisatsioonilisi meetmeid, millega tagatakse töötlemise vastavus käesoleva määruse nõuetele ja andmesubjekti õiguste kaitsmine.

1. Võttes arvesse tehnika arengut, praegust tehnilist asjatundlikkust, rahvusvahelisi parimaid tavasid ja andmetöötlemisest tulenevaid riske, võtavad vastutav töötleja ja vajaduse korral volitatud töötleja töötlemise eesmärkide ja vahendite valikul ja töötlemise käigus selliseid proportsionaalseid tehnilisi ja organisatsioonilisi meetmeid, millega tagatakse töötlemise vastavus käesoleva määruse nõuetele ja andmesubjekti õiguste kaitsmine, eelkõige lähtuvalt artiklis 5 sätestatud põhimõtetest. Isikuandmete lõimitud kaitsel pööratakse erilist tähelepanu isikuandmete kogu olelusringi haldamisele alates andmete kogumisest ja töötlemisest kuni nende kustutamiseni, keskendudes ulatuslikele menetluslikele tagatistele, mis puudutavad isikuandmete täpsust, konfidentsiaalsust, puutumatust, füüsilist kaitset ja kustutamist. Kui vastutav töötleja on teinud artiklis 33 nõutud isikuandmete kaitse mõjuhinnangu, võetakse selle tulemusi arvesse mainitud meetmete ja korra väljatöötamisel.

 

1 a. Et toetada lõimitud andmekaitse ulatuslikku rakendamist eri majandusvaldkondades, seatakse lõimitud andmekaitse riiklike pakkumiskutsete vajalikuks eeltingimuseks kooskõlas Euroopa Parlamendi ja nõukogu direktiiviga 2004/18/EÜ1 ning Euroopa Parlamendi ja nõukogu direktiiviga 2004/14/EÜ2 (kommunaalteenuste direktiiv).

2. Vastutav töötleja rakendab mehhanisme, millega tagatakse, et vaikimisi töödeldakse vaid töötlemise konkreetse eesmärgi seisukohalt olulisi isikuandmeid, ning eelkõige selle, et andmeid ei koguta rohkem ega säilitata kauem, kui kõnealusel otstarbel minimaalselt vajalik. Nende mehhanismidega tagatakse eelkõige see, et isikuandmed ei ole vaikimisi üldiselt kättesaadavad.

2. Vastutav töötleja tagab, et vaikimisi töödeldakse vaid töötlemise konkreetse eesmärgi seisukohalt olulisi isikuandmeid, ning eelkõige selle, et andmeid ei koguta rohkem, ei säilitata ega levitata kauem, kui kõnealusel otstarbel minimaalselt vajalik. Nende mehhanismidega tagatakse eelkõige see, et isikuandmed ei ole vaikimisi üldiselt kättesaadavad ja et andmesubjektidel on võimalik kontrollida oma isikuandmete levikut.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse lõigetes 1 ja 2 osutatud meetmetele ja mehhanismidele, eelkõige aga eri sektorites ning toodete ja teenuste pakkumisel isikuandmete lõimitud kaitse kriteeriume ja nõudeid.

 

4. Komisjon võib kehtestada lõikes 1 ja 2 sätestatud nõuete kohased tehnilised standardid. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

 

1 Euroopa Parlamendi ja nõukogu direktiiv 2004/18/EÜ, 31. märts 2004, ehitustööde riigihankelepingute, asjade riigihankelepingute ja teenuste riigihankelepingute sõlmimise korra kooskõlastamise kohta (ELT L 134, 30.4.2004, lk 114).

2 Euroopa Parlamendi ja nõukogu direktiiv 2004/17/EÜ, 31. märts 2004, millega kooskõlastatakse vee-, energeetika-, transpordi- ja postiteenuste sektoris tegutsevate ostjate hankemenetlused (ELT L 134, 30.4.2004, lk 1).

Muudatusettepanek  119

Ettepanek võtta vastu määrus

Artikkel 24

Komisjoni ettepanek

Muudatusettepanek

Kaasvastutavad töötlejad

Kaasvastutavad töötlejad

Kui mitu vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise tingimused ja vahendid, on nad kaasvastutavad töötlejad, kes omavaheliste kokkulepetega kehtestavad igaühe vastutuse käesolevast määrusest tulenevate kohustuste täitmisel, eelkõige andmesubjekti õiguste kasutamise korra ja mehhanismid.

Kui mitu vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise tingimused ja vahendid, on nad kaasvastutavad töötlejad, kes omavaheliste kokkulepetega kehtestavad igaühe vastutuse käesolevast määrusest tulenevate kohustuste täitmisel, eelkõige andmesubjekti õiguste kasutamise korra ja mehhanismid. Selline kord võtab asjakohaselt arvesse kaasvastutavate töötlejate vastavaid tõhusaid rolle ja suhteid seoses andmesubjektidega ning korra põhitingimused tehakse andmesubjektile teatavaks. Kui vastutavate töötlejate vastutus ei ole selgelt määratletud, vastutavad nad solidaarselt.

Muudatusettepanek  120

Ettepanek võtta vastu määrus

Artikkel 25

Komisjoni ettepanek

Muudatusettepanek

Väljaspool liitu asuvate vastutavate töötlejate esindajad

Väljaspool liitu asuvate vastutavate töötlejate esindajad

1. Artikli 3 lõikes 2 osutatud olukorras määrab vastutav töötleja oma esindaja liidus.

1. Artikli 3 lõikes 2 osutatud olukorras määrab vastutav töötleja oma esindaja liidus.

2. Seda nõuet ei kohaldata, kui vastutav töötleja:

2. Seda nõuet ei kohaldata, kui vastutav töötleja:

a) asub kolmandas riigis, kus komisjoni otsuse kohaselt on tagatud isikuandmete piisav kaitse vastavalt artiklile 41, või

a) asub kolmandas riigis, kus komisjoni otsuse kohaselt on tagatud isikuandmete piisav kaitse vastavalt artiklile 41, või

b) on vähem kui 250 töötajaga ettevõte või

b) on vastutav töötleja, kes töötleb igal järjestikusel 12-kuulisel ajavahemikul vähem kui 5000 andmesubjekti andmeid ning kes ei töötle artikli 9 lõikes 1 osutatud isikuandmete eriliike, asukohaandmeid või laste ja töötajate isikuandmeid suurtes toimikusüsteemides; või

c) on avaliku sektori asutus või organ või

c) on avaliku sektori asutus või organ või

d) pakub liidu andmesubjektidele kaupu ja teenuseid ainult juhuti.

d) pakub liidu andmesubjektidele kaupu ja teenuseid ainult juhuti, välja arvatud juhul, kui isikuandmete töötlemine puudutab artikli 9 lõikes 1 osutatud isikuandmete eriliike, asukohaandmeid või laste ja töötajate isikuandmeid suurtes toimikusüsteemides;

3. Esindaja asukoht peab olema ühes liikmesriikidest, kus elavad andmesubjektid, kelle isikuandmeid töödeldakse neile kaupade või teenuste pakkumise korral või kelle käitumist jälgitakse.

3. Esindaja asukoht peab olema ühes liikmesriikidest, kus toimub kaupade või teenuste pakkumine andmesubjektidele või nende jälgimine.

4. Vastutava töötleja esindaja määramine ei piira võimalust võtta õiguslikke meetmeid vastutava töötleja enda suhtes.

4. Vastutava töötleja esindaja määramine ei piira võimalust võtta õiguslikke meetmeid vastutava töötleja enda suhtes.

Muudatusettepanek  121

Ettepanek võtta vastu määrus

Artikkel 26

Komisjoni ettepanek

Muudatusettepanek

Volitatud töötleja

Volitatud töötleja

1. Kui vastutav töötleja soovib lasta isikuandmeid töödelda enda nimel, volitab ta selleks töötleja, kes võtab käesoleva määruse nõuete täitmiseks ja andmesubjekti õiguste kaitsmiseks vajalikke tehnilisi ja organisatsioonilisi meetmeid, eelkõige tehnilisi turbemeetmeid ja töötlemise organisatsioonilisi meetmeid, ning tagab nende järgimise.

1. Kui vastutav töötleja soovib lasta isikuandmeid töödelda enda nimel, volitab ta selleks töötleja, kes võtab käesoleva määruse nõuete täitmiseks ja andmesubjekti õiguste kaitsmiseks vajalikke tehnilisi ja organisatsioonilisi meetmeid, eelkõige tehnilisi turbemeetmeid ja töötlemise organisatsioonilisi meetmeid, ning tagab nende järgimise.

 

2. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või muu õigusakti alusel, milles on eelkõige sätestatud, et volitatud töötleja:

2. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või muu õigusakti alusel. Vastutav töötleja ja volitatud töötleja võivad ise kindlaks määrata käesoleva määruse kohased vastavad rollid ja ülesanded, ning tagavad, et volitatud töötleja:

a) tegutseb ainult vastavalt vastutava töötleja juhtnööridele, eelkõige juhul, kui isikuandmete edastamine on keelatud;

a) töötleb isikuandmeid ainult vastavalt vastutava töötaja juhtnööridele, juhul kui liidu ja liikmesriikide õigusaktides ei ole sätestatud teisiti;

b) kasutab üksnes selliseid töötajaid, kes on tõotanud järgida konfidentsiaalsusnõuet või kelle suhtes kehtib õigusaktides sätestatud konfidentsiaalsusnõue;

b) kasutab üksnes selliseid töötajaid, kes on tõotanud järgida konfidentsiaalsusnõuet või kelle suhtes kehtib õigusaktides sätestatud konfidentsiaalsusnõue;

c) võtab kõik vajalikud meetmed vastavalt artiklile 30;

c) võtab kõik vajalikud meetmed vastavalt artiklile 30;

d) kaasab teisi töötlejaid ainult vastutava töötleja eelneval loal;

d) määrab tingimused teise töötleja kaasamiseks ainult vastutava töötleja eelneval loal, juhul kui ei ole teisiti sätestatud;

e) määrab koos vastutava töötlejaga võimaluse piires ja vastavalt töötlemise laadile kindlaks tehnilised ja organisatsioonilised nõuded, mille kohaselt täidetakse vastutava töötleja kohustust vastata III peatükis sätestatud taotlustele andmesubjektide õiguste teostamiseks;

e) määrab koos vastutava töötlejaga võimaluse piires ja vastavalt töötlemise laadile kindlaks nõuete- ja asjakohased tehnilised ja organisatsioonilised nõuded, mille kohaselt täidetakse vastutava töötleja kohustust vastata III peatükis sätestatud taotlustele andmesubjektide õiguste teostamiseks;

f) aitab vastutaval töötlejal täita artiklites 30–34 sätestatud kohustusi;

f) aitab vastutaval töötlejal täita artiklites 30–34 sätestatud kohustusi, võttes arvesse töötlemise laadi ja töötlejale kättesaadavat teavet;

g) annab töötlemise tulemused pärast töötlemist üle vastutavale töötlejale ega töötle isikuandmeid muul eesmärgil;

g) tagastab töötlemise tulemused pärast töötlemist vastutavale töötlejale, ei töötle isikuandmeid muul eesmärgil ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriikide õigusaktidega nõutakse andmete säilitamist;

h) teeb vastutavale töötlejale ja järelevalveasutusele kättesaadavaks kogu teabe, mille alusel saab kontrollida käesolevas artiklis sätestatud kohustuste täitmist.

h) teeb vastutavale töötlejale kättesaadavaks kogu teabe, mille alusel saab tõendada käesolevas artiklis sätestatud kohustuste täitmist, ja võimaldab kohapealset kontrolli;

3. Vastutav töötleja ja volitatud töötleja kehtestavad kirjalikult vastutava töötleja juhised ja volitatud töötleja lõikes 2 osutatud kohustused.

3. Vastutav töötleja ja volitatud töötleja kehtestavad kirjalikult vastutava töötleja juhised ja volitatud töötleja lõikes 2 osutatud kohustused.

 

3 a. Lõikes 1 osutatud piisavate tagatiste andmist võib tõendada artikli 38 kohaste toimimisjuhendite järgimise või artikli 39 kohase sertifitseerimismehhanismiga.

4. Kui volitatud töötleja töötleb isikuandmeid eesmärgil, mis ei vasta vastutava töötleja antud ülesandele, käsitatakse volitatud töötlejat sellise töötlemise suhtes vastutava töötlejana ja tema suhtes kohaldatakse artiklis 24 sätestatud kaasvastutuse eeskirju.

4. Kui volitatud töötleja töötleb isikuandmeid eesmärgil, mis ei vasta vastutava töötleja antud ülesandele, või saab õiguse otsustada andmete töötlemise eesmärkide ja vahendite üle, käsitatakse volitatud töötlejat sellise töötlemise suhtes vastutava töötlejana ja tema suhtes kohaldatakse artiklis 24 sätestatud kaasvastutuse eeskirju.

5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud vastutuse, kohustuste ja ülesannete suhtes kohaldatavaid kriteeriume ja nõudeid ning kehtestada kontserni raames isikuandmete töötlemise, eelkõige järelevalve ja aruandluse tingimused.

 

Muudatusettepanek 122

Ettepanek võtta vastu määrus

Artikkel 28

Komisjoni ettepanek

Muudatusettepanek

Dokumenteerimine

Dokumenteerimine

1. Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja dokumenteerivad omal vastutusel tehtud töötlemistoimingud.

1. Vastutav töötleja ja volitatud töötleja säilitavad korrapäraselt ajakohastatud dokumentatsiooni, mis on vajalik käesolevas määruses sätestatud nõuete täitmiseks.

2. Dokumendid peavad sisaldama vähemalt järgmisi andmeid:

2. Lisaks säilitavad vastutav töötleja ja volitatud töötleja dokumentatsiooni, mis sisaldab järgmist teavet:

a) vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ning vajaduse korral esindaja nimi ja kontaktandmed;

a) vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ning vajaduse korral esindaja nimi ja kontaktandmed;

b) vajaduse korral andmekaitseametniku nimi ja kontaktandmed;

b) vajaduse korral andmekaitseametniku nimi ja kontaktandmed;

c) töötlemise eesmärgid, sealhulgas vastutava töötleja õigustatud huvi, kui töötlemine põhineb artikli 6 lõike 1 punktil f;

 

d) andmesubjektide kategooriaid ja nendega seotud isikuandmete liike;

 

e) andmete vastuvõtja või vastuvõtjate kategooria, sealhulgas vastutavad töötlejad, kellele isikuandmed avalikustatakse vastavalt nende õigustatud huvile;

e) vajaduse korral nende vastutavate töötlejate nimi ja kontaktandmed, kellele isikuandmed avalikustatakse vastavalt nende õigustatud huvile;

f) kui andmeid edastatakse kolmandasse riiki või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist artikli 44 lõike 1 punktis h osutatud edastamisega, siis kaitsemeetmete kohta koostatud dokumendid;

 

g) üldist teavet eri andmeliikide kustutamise tähtaegade kohta;

 

h) artikli 22 lõkkes 3 osutatud mehhanismide kirjeldus.

 

3. Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja esitavad dokumendid taotluse alusel järelevalveasutusele.

 

4. Lõikes 1 ja 2 osutatud kohustusi ei kohaldata järgmiste vastutavate töötlejate ega volitatud töötlejate suhtes:

välja jäetud

a) isikuandmeid töötleb ärihuvita füüsiline isik; või

 

b) töötleja on vähem kui 250 töötajaga ettevõte või organisatsioon, kes töötleb isikuandmeid üksnes kõrvaltegevusena.

 

5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud dokumentide suhtes kohaldatavaid kriteeriume ja nõudeid, et võtta arvesse eelkõige vastutava töötleja ja volitatud töötleja ning vajaduse korral ka töötleja esindaja ülesandeid.

 

6. Komisjon võib kehtestada lõikes 1 osutatud dokumentide tüüpvormid. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

Muudatusettepanek  123

Ettepanek võtta vastu määrus

Artikkel 29 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja teevad asjakohase taotluse alusel järelevalveasutusega tema ülesannete täitmiseks koostööd, eelkõige esitades artikli 53 lõike 2 punktis a osutatud teavet ja võimaldades kõnealuse lõike punktis b sätestatud juurdepääsu.

1. Vastutav töötleja ja vajaduse korral volitatud töötleja ning vastutava töötleja esindaja teevad asjakohase taotluse alusel järelevalveasutusega tema ülesannete täitmiseks koostööd, eelkõige esitades artikli 53 lõike 2 punktis a osutatud teavet ja võimaldades kõnealuse lõike punktis b sätestatud juurdepääsu.

Muudatusettepanek  124

Ettepanek võtta vastu määrus

Artikkel 30

Komisjoni ettepanek

Muudatusettepanek

Töötlemise turvalisus

Töötlemise turvalisus

1. Vastutav töötleja ja volitatud töötleja võtavad vajalikke tehnilisi ja organisatsioonilisi meetmeid, et tagada töötlemisest ja kaitstavate andmete laadist tulenevatele ohtudele vastav turvalisus, võttes arvesse tehnika taset ja selliste meetmete rakendamise kulusid.

1. Vastutav töötleja ja volitatud töötleja võtavad vajalikke tehnilisi ja organisatsioonilisi meetmeid, et tagada töötlemisest tulenevatele ohtudele vastav turvalisus, võttes arvesse artikli 33 kohast isikuandmete kaitsele avaldatava mõju hinnangut ning võttes arvesse tehnika taset ja selliste meetmete rakendamise kulusid.

 

1 a. Võttes arvesse tehnika arengut ja juurutamise kulusid, hõlmab turbepoliitika järgmist:

 

a) võime tagada, et isikuandmete terviklus on valideeritud;

 

b) võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

 

c) võime taastada õigeaegselt andmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral, mis mõjutab infosüsteemide ja -teenuste kättesaadavust, terviklust ja konfidentsiaalsust;

 

d) tundlike isikuandmete töötlemise korral vastavalt artiklitele 8 ja 9 lisaturvameetmed, et tagada ülevaade olukorra ohtudest ja võime võtta peaaegu reaalajas ennetus-, parandus- ja leevendusmeetmeid tuvastatud nõrkuste või vahejuhtude puhul, mis võiksid endast andmetele ohtu kujutada;

 

e) kehtiva andmeturbe alase poliitika, korra ja kavade tõhususe korrapärase testimise ja hindamise menetlus kestva tõhususe tagamiseks.

2. Vastutav töötleja ja volitatud töötleja rakendavad riskianalüüsi alusel lõikes 1 osutatud tehnilisi ja organisatsioonilisi meetmeid, et kaitsta isikuandmeid juhusliku ja ebaseadusliku hävimise ning juhusliku kadumise ja muutmise eest ning vältida igasugust ebaseaduslikku töötlemist, eriti loata avalikustamist, levitamist ja juurdepääsu.

2. Lõikes 1 nimetatud meetmetega tuleb vähemalt:

 

a) tagada, et isikuandmetele oleks juurdepääs üksnes volitatud töötajatel seaduslikult lubatud eesmärkidel;

 

b) kaitsta salvestatud või edastatud isikuandmeid juhusliku või ebaseadusliku hävimise, juhusliku kadumise või muutmise ja loata või ebaseadusliku säilitamise, töötlemise, juurdepääsu või avalikustamise eest; ning

 

c) tagada isikuandmete töötlemise turvapoliitika rakendamine.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte lõigetes 1 ja 2 osutatud kriteeriumide ja tingimuste ning tehniliste ja organisatsiooniliste meetmete täpsustamiseks, sealhulgas tehnika taseme kindlaksmääramiseks konkreetsete sektorite ja andmetöötlusolukordade kaupa, võttes eelkõige arvesse tehnoloogia ning isikuandmete lõimitud ja vaikimisi kaitse lahenduste arengut, välja arvatud juhtudel, kui kohaldatakse lõiget 4.

3. Vastavalt artikli 66 lõike 1 punktile b usaldatakse Euroopa Andmekaitsenõukogule suuniste, soovituste ja parimate tavade avaldamine lõigetes 1 ja 2 osutatud tehniliste ja organisatsiooniliste meetmete kohta, sealhulgas tehnika taseme kindlaksmääramine konkreetsete sektorite ja andmetöötlusolukordade kaupa, võttes eelkõige arvesse tehnoloogia ning isikuandmete lõimitud ja vaikimisi kaitse lahenduste arengut, välja arvatud juhtudel, kui kohaldatakse lõiget 4.

4. Komisjon võib vajaduse korral vastu võtta rakendusakte, millega täpsustatakse lõigetes 1 ja 2 sätestatud nõuete täitmist eri olukordades, eelkõige selleks et:

 

a) vältida loata juurdepääsu isikuandmetele;

 

b) vältida isikuandmete loata avalikustamist, lugemist, kopeerimist, muutmist, kustutamist ja eemaldamist;

 

c) tagada töötlemistoimingute õiguspärasuse kontrollimine.

 

Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

(Komisjoni teksti lõige 2 moodustab osa parlamendi muudatusettepaneku punktist b).

Muudatusettepanek  125

Ettepanek võtta vastu määrus

Artikkel 31

Komisjoni ettepanek

Muudatusettepanek

Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest

Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest

1. Vastutav töötleja teavitab järelevalveasutust isikuandmetega seotud rikkumisest põhjendamatu viivitusteta ja võimaluse korral 24 tunni jooksul pärast rikkumise avastamist. Kui järelevalveasutusele esitatakse teade hiljem kui 24 tunni jooksul, esitatakse teates selle kohta põhjendus.

1. Vastutav töötleja teavitab järelevalveasutust isikuandmetega seotud rikkumisest põhjendamatu viivituseta.

2. Vastavalt artikli 26 lõike 2 punktile f teavitab volitatud töötleja vastutavat töötlejat isikuandmetega seotud rikkumisest kohe pärast selle avastamist.

2. Volitatud töötleja teavitab vastutavat töötlejat isikuandmetega seotud rikkumisest põhjendamatu viivituseta pärast selle avastamist.

3. Lõikes 1 osutatud teates tuleb vähemalt:

3. Lõikes 1 osutatud teates tuleb vähemalt:

a) kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada asjaomaste andmesubjektide kategooriad ja arv ning isikuandmete liigid ja arv;

a) kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada asjaomaste andmesubjektide kategooriad ja arv ning isikuandmete liigid ja arv;

b) teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

b) teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

c) kirjeldada soovitatavaid meetmeid, mis võimaldavad leevendada isikuandmetega seotud rikkumise võimalikku negatiivset mõju;

c) kirjeldada soovitatavaid meetmeid, mis võimaldavad leevendada isikuandmetega seotud rikkumise võimalikku negatiivset mõju;

d) kirjeldada isikuandmetega seotud rikkumise tagajärgi;

d) kirjeldada isikuandmetega seotud rikkumise tagajärgi;

e) kirjeldada vastutava töötleja kavandatud või võetud meetmeid isikuandmetega seotud rikkumise lahendamiseks.

e) kirjeldada vastutava töötleja kavandatud või võetud meetmeid isikuandmetega seotud rikkumise lahendamiseks ning leevendada selle tagajärgi.

Vajaduse korral võib teavet anda järk-järgult.

4. Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, nende mõju ja võetud parandusmeetmed. Dokumendid peavad võimaldama järelevalveasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist. Dokumentides esitatakse ainult nimetatud eesmärgi kohane teave.

4. Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, nende mõju ja võetud parandusmeetmed. Dokumendid peavad olema piisavad, et võimaldada järelevalveasutusel kontrollida käesolevas artiklis ja artiklis 30 sätestatud nõuete täitmist. Dokumentides esitatakse ainult nimetatud eesmärgi kohane teave.

 

4 a. Järelevalveasutus peab avalikku registrit teavitatud rikkumiste liikide kohta.

5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõigetes 1 ja 2 osutatud rikkumise tuvastamise kriteeriume ning olukordi, mille puhul vastutav töötleja ja volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama.

 

5. Euroopa Andmekaitsenõukogule usaldatakse artikli 66 lõike 1 punktile b kohaste suuniste, soovituste ja parimate tavade avaldamine, et tuvastada rikkumine ja määrata kindlaks lõigetes 1 ja 2 osutatud põhjendamatu viivitus ja olukord, mille puhul vastutav töötleja ja volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama.

6. Komisjon võib kehtestada järelevalveasutusele esitatava teate tüüpvormi ja esitamise korra ning lõikes 4 osutatud dokumentide vormi ja esitamise korra, sealhulgas tähtaja, mille möödumisel on lubatud neis esitatud teave kustutada. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

Muudatusettepanek  126

Ettepanek võtta vastu määrus

Artikkel 32

Komisjoni ettepanek

Muudatusettepanek

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

1. Kui isikuandmetega seotud rikkumine võib rikkuda andmesubjekti isikuandmete ja tema eraelu kaitset, teavitab vastutav töötleja pärast artiklis 31 osutatud teavitamist sellest põhjendamatu viivituseta ka andmesubjekti.

1. Kui isikuandmetega seotud rikkumine võib rikkuda andmesubjekti isikuandmete, tema eraelu, õiguste või õigustatud huvide kaitset, teavitab vastutav töötleja pärast artiklis 31 osutatud teavitamist sellest põhjendamatu viivituseta ka andmesubjekti.

2. Andmesubjektile lõike 1 kohaselt esitatud teates kirjeldatakse isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 31 lõike 3 punktides b ja c nimetatud teave ja soovitused.

Andmesubjektile lõike 1 kohaselt esitatud teade on ülevaatlik ning koostatud selges ja lihtsas keeles. Selles kirjeldatakse isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 31 lõike 3 punktides b, c ja d nimetatud teave ja soovitused ning andmesubjektide õigustest, sealhulgas kahju hüvitamisest.

3. Andmesubjekti ei pea teavitama isikuandmetega seotud rikkumisest, kui vastutav töötleja suudab järelevalveasutusele tõendada, et ta on rakendanud vajalikud tehnilised abinõud nende isikuandmete kaitsmiseks, mille suhtes rikkumine toime pandi. Selliste tehniliste kaitseabinõudega muudetakse andmed loetamatuks kõikidele juurdepääsuõiguseta isikutele.

3. Andmesubjekti ei pea teavitama isikuandmetega seotud rikkumisest, kui vastutav töötleja suudab järelevalveasutusele tõendada, et ta on rakendanud vajalikud tehnilised abinõud nende isikuandmete kaitsmiseks, mille suhtes rikkumine toime pandi. Selliste tehniliste kaitseabinõudega muudetakse andmed loetamatuks kõikidele juurdepääsuõiguseta isikutele.

4. Ilma et see piiraks vastutava töötleja kohustust teavitada andmesubjekti isikuandmetega seotud rikkumistest, võib järelevalveasutus pärast rikkumise võimalike kahjulike mõjude hindamist vastutavalt töötlejalt nõuda andmesubjekti teavitamist isikuandmetega seotud rikkumisest, kui vastutav töötleja ei ole rikkumisest ise veel teatanud.

4. Ilma et see piiraks vastutava töötleja kohustust teavitada andmesubjekti isikuandmetega seotud rikkumistest, võib järelevalveasutus pärast rikkumise võimalike kahjulike mõjude hindamist vastutavalt töötlejalt nõuda andmesubjekti teavitamist isikuandmetega seotud rikkumisest, kui vastutav töötleja ei ole rikkumisest ise veel teatanud.

5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada kriteeriume ja nõudeid, mille alusel tehakse kindlaks, kas isikuandmetega seotud rikkumine võib kahjustada lõikes 1 osutatud isikuandmeid.

Euroopa Andmekaitsenõukogule usaldatakse artikli 66 lõike 1 punktile b kohaste suuniste, soovituste ja parimate tavade avaldamine, et teha kindlaks, kas isikuandmetega seotud rikkumine võib kahjustada lõikes 1 osutatud andmesubjekti isikuandmeid, eraelu puutumatust, ning õigusi või legitiimseid huvisid.

6. Komisjon võib kehtestada lõikes 1 osutatud teate vormi ja andmesubjekti teavitamise korra. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

Muudatusettepanek  127

Ettepanek võtta vastu määrus

Artikkel 32 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 32 a

 

Riskihindamine

 

1. Vastutav töötleja või vajaduse korral volitatud töötleja viivad läbi kavandatud andmete töötlemise võimaliku mõju hindamise andmesubjektide õiguste ja vabaduste suhtes, hinnates seda, kas töötlemistoimingud võivad tekitada konkreetseid riske.

 

2. Järgmised töötlemistoimingud võivad tekitada konkreetseid riske:

 

a) rohkem kui 5000 andmesubjekti andmete töötlemine iga järjestikuse 12-kuulise ajavahemiku jooksul;

 

b) artikli 9 lõikes 1 viidatud isikuandmete andmete erikategooriate, asukohaandmete või laste ja töötajate isikuandmete töötlemine suurtes toimikusüsteemides;

 

c) profiilianalüüs, millel põhinevad andmesubjekti jaoks õiguslike tagajärgedega või teda samaväärselt oluliselt mõjutavad meetmed;

 

d) tervishoiuteenuse osutamiseks vajaliku teabe töötlemine ning epidemioloogilised, vaimu- ja nakkushaiguste uuringud, kui andmete töötlemise eesmärk on võtta meetmeid või teha otsuseid, mis käsitlevad paljusid üksikisikuid;

 

e) avalike alade ulatuslik automatiseeritud jälgimine:

 

f) muud töötlemistoimingud, mille puhul tuleb nõu pidada andmekaitseametniku või järelevalveasutusega vastavalt artikli 34 lõike 2 punktile b;

 

g) kui isikuandmetega seotud rikkumine võib rikkuda andmesubjekti isikuandmete, tema eraelu, õiguste või õigustatud huvide kaitset;

 

h) vastutava töötleja või volitatud töötleja põhitegevuse moodustavad töötlemistoimingud, mille laad, ulatus ja/või eesmärk tingivad andmesubjektide korrapärase ja süstemaatilise järelevalve.

 

i) kui isikuandmed tehakse kättesaadavaks mitmetele isikutele, kelle arvu piiramist ei ole võimalik mõistlikult eeldada.

 

3. Riskianalüüsi tulemuste alusel

 

a) juhul kui viiakse läbi mõnda lõike 2 punktides a või b osutatud töötlemistoimingut, määravad vastutavad töötleja, kes ei ole asutatud ELis, omale esindaja liidus vastavalt artiklis 25 kehtestatud nõuetele ja eranditele;

 

b) juhul kui viiakse läbi mõnda lõike 2 punktides a või b või h osutatud töötlemistoimingut, määrab vastutav töötleja andmekaitseametniku vastavalt artiklis 35 kehtestatud nõuetele ja eranditele;

 

c) juhul kui viiakse läbi mõnda lõike 2 punktides a, b, c, d, e, f, g või h osutatud töötlemistoimingut, viib vastutav töötleja või tema nimel tegutsev volitatud töötleja läbi isikuandmete kaitsele avaldatava mõju hindamise vastavalt artiklile 33.

 

d) juhul kui viiakse läbi lõike 2 punktis f osutatud töötlemistoiminguid, konsulteerib vastutav töötleja andmekaitseametnikuga või juhul kui andmekaitseametnikku ei ole määratud, artikli 34 kohaselt järelevalveasutusega.

 

4. Riskianalüüs vaadatakse läbi hiljemalt aasta möödudes, või ka viivitamatult, kui andmetöötlustoimingute iseloom, kohaldamisala või eesmärgid oluliselt muutuvad. Kui vastutav töötleja ei ole lõike 3 punkti c kohaselt kohustatud viima läbi andmekaitse mõjuhinnangut, dokumenteeritakse riskianalüüs.

Muudatusettepanek  128

Ettepanek võtta vastu määrus

IV peatükk – 3. jagu – pealkiri

Komisjoni ettepanek

Muudatusettepanek

ISIKUANDMETE KAITSELE AVALDATAVA MÕJU HINNANG JA EELNEV LUBA

ISIKUANDMETE KAITSE OLELUSRINGI HALDAMINE

Muudatusettepanek  129

Ettepanek võtta vastu määrus

Artikkel 33

Komisjoni ettepanek

Muudatusettepanek

Isikuandmete kaitsele avaldatava mõju hinnang

Isikuandmete kaitsele avaldatava mõju hinnang

1. Kui töötlemistoimingud ohustavad oma laadi, ulatuse või eesmärkide tõttu andmesubjektide õigusi ja vabadusi, hindab vastutav töötleja või tema nimel tegutsev volitatud töötleja kavandatavate töötlemistoimingute mõju isikuandmete kaitsele.

1. Kui see on artikli 32 a lõike 3 põhjal nõutav, hindab vastutav töötleja või tema nimel tegutsev volitatud töötleja kavandatavate töötlemistoimingute mõju andmesubjekti õigustele ja vabadustele, eriti nende õigusele isikuandmete kaitsele. Endast sarnaseid riske kujutavate sarnaste töötlemistoimingute kogumiga tegelemiseks piisab ühest hindamisest.

2. Lõikes 1 osutatud ohtu kujutavad endast eelkõige järgmised töötlemistoimingud:

 

a) automatiseeritud andmetöötlusel põhinev füüsilise isiku süstemaatiline ja põhjalik analüüsimine, et hinnata või prognoosida füüsilise isiku majanduslikku olukorda, asukohta, tervist, eelistusi, usaldusväärsust ja käitumist eesmärgiga teha andmesubjekti jaoks õiguslike tagajärgedega või teda oluliselt mõjutavaid otsuseid;

 

b) seksuaalelu, tervislikku seisundit, rassilist ja etnilist päritolu käsitleva või tervishoiuteenuse osutamiseks vajaliku teabe töötlemine ning epidemioloogilised, vaimu- ja nakkushaiguste uuringud, kui andmete töötlemise eesmärk on võtta meetmeid või teha otsuseid, mis käsitlevad paljusid üksikisikuid;

 

c) avalike alade ulatuslik jälgimine eeskätt elektrooniliste optikaseadmetega (videojärelevalveseadmetega);

 

d) laste isikuandmete ning geneetiliste ja biomeetriliste isikuandmete töötlemine suurtes toimikusüsteemides;

 

e) muud töötlemistoimingud, mille puhul tuleb nõu pidada järelevalveasutusega vastavalt artikli 34 lõike 2 punktile b;

 

3. Hindamine hõlmab vähemalt kavandatud töötlemistoimingute üldist kirjeldust, andmesubjektide õigusi ja vabadusi ähvardavate ohtude hinnangut, ohtude kõrvaldamiseks kavandatud meetmeid, kaitsemeetmed, isikuandmete kaitseks ja käesoleva määruse järgimise tõendamiseks võetavaid turbemeetmeid ja rakendatavaid mehhanisme, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huvi.

3. Hindamisel võetakse arvesse isikuandmete kogu olelusringi haldamist kogumisest kuni töötlemise ja hävitamiseni. See hõlmab vähemalt järgmist:

 

a) kavandatud töötlemistoimingute, töötlemise eesmärkide ja vajaduse korral vastutava töötleja õigustatud huvide süstemaatiline kirjeldus;

 

b) kavandatud töötlemistoimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

 

c) andmesubjektide õigusi ja vabadusi ähvardavate ohtude hindamine, sealhulgas toimingus sisalduv või selle tulemusena suurenev diskrimineerimisoht;

 

d) ohtude kõrvaldamiseks ja töödeldavate isikuandmete mahu minimeerimiseks kavandatud meetmete kirjeldus;

 

e) loetelu tagatistest, isikuandmete kaitseks ja käesoleva määruse järgimise tõendamiseks võetavatest turvameetmest ja rakendatavatest mehhanismidest, näiteks pseudonüümide kasutamine, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huvi;

 

f) üldine teave eri andmeliikide kustutamise tähtaegade kohta;

 

h) selgitus, millist isikuandmete lõimitud kaitset ja vaikimisi kaitset on rakendatud;

 

i) loetelu isikuandmete vastuvõtjatest või vastuvõtjate liikidest;

 

j) vajaduse korral loetelu andmete kavandatavatest edastamistest kolmandale riigile või rahvusvahelisele organisatsioonile koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega ning artikli 44 lõike 1 punktis h osutatud edastamise korral kaitsemeetmete kohta koostatud dokumentide loend;

 

k) andmetöötluse konteksti hindamine.

 

3 a. Kui vastutav töötleja või volitatud töötleja on määranud andmekaitseametniku, peaks too mõju hindamisel osalema.

 

3 b. Mõjuhinnang dokumenteeritakse ja selles kehtestatakse andmekaitsenõuete täitmise korrapäraste perioodiliste kontrollide ajakava vastavalt artikli 33 a lõikele 1. Kui artiklis 33 a nimetatud andmekaitsenõuete täitmise kontrolli käigus leitakse puudusi, tuleb hinnangut põhjendamatu viivitusteta ajakohastada. Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja esitavad hinnangu taotluse alusel järelevalveasutusele.

4. Vastutav töötleja küsib andmesubjektide või nende esindajate seisukohti kavandatud töötlemise kohta, ilma et see piiraks kaubandus- või avalike huvide kaitset ja töötlemistoimingute turvalisust.

 

5. Kui vastutav töötleja on avaliku sektori asutus või organ ja kui töötlemine on vajalik artikli 6 lõike 1 punktis c osutatud seadusjärgse kohustuse täitmiseks ning selliste töötlemistoimingute tegemise eeskirjad ja kord on ette nähtud liidu õigusaktidega, siis lõikeid 1–4 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks sellise hindamise läbi viia enne töötlemistoimingute alustamist.

 

6. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõigetes 1 ja 2 osutatud töötlemistoimingutega seotud konkreetse ohu tuvastamise kriteeriume ja tingimusi ning lõikes 3 osutatud hindamisnõudeid, sealhulgas skaleeritavuse, kontrollitavuse ja auditeeritavuse tingimusi. Seejuures kaalub komisjon konkreetsete meetmete kehtestamist mikro-, väikeste ja keskmise suurusega ettevõtete jaoks.

 

7. Komisjon võib kehtestada lõikes 3 osutatud hindamise ja hinnangu kontrollitavuse ja auditeeritavuse nõuded ja korra. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

(Komisjoni teksti lõige 3 moodustab osa parlamendi muudatusettepaneku punktist a, b, c, d ja e).

Muudatusettepanek  130

Ettepanek võtta vastu määrus

Artikkel 33 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 33 a

 

Andmekaitsenõuete täitmise kontroll

 

1. Hiljemalt kaks aastat pärast artikli 33 lõikes 1 sätestatud mõjuhinnangu koostamist viib vastutav töötleja või tema nimel tegutsev volitatud töötleja läbi andmekaitsenõuete täitmise kontrolli. Nimetatud kontroll peab näitama, et isikuandmete töötlemisel järgitakse isikuandmete kaitse mõjuhinnangu nõudeid.

 

2. Nõuete täitmise kontroll toimub korrapäraselt vähemalt kord kahe aasta jooksul või kohe, kui töötlemistoimingutega seotud konkreetsed riskid muutuvad.

 

3. Kui nõuete täitmise kontrollil leitakse täitmise puudujääke, antakse kontrolli käigus soovitusi nende kõrvaldamiseks.

 

 

4. Nõuete täitmise kontroll ja selle soovitused dokumenteeritakse. Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja esitavad kontrollidokumendid taotluse alusel järelevalveasutusele.

 

5. Kui vastutav või volitatud töötleja on määranud andmekaitseametniku, peaks too kontrollidokumentide läbivaatamisel osalema.

Muudatusettepanek  131

Ettepanek võtta vastu määrus

Artikkel 34

Komisjoni ettepanek

Muudatusettepanek

Eelnev luba ja konsulteerimine

Eelnev konsulteerimine

1. Vastavalt vajadusele kas vastutav töötleja või volitatud töötleja taotleb järelevalveasutuselt loa enne isikuandmete töötlemise algust, et kavandatud töötlemine vastaks käesoleva määruse nõuetele ning eelkõige vähendamaks andmesubjekti jaoks ohtu, et vastutav töötleja või volitatud töötleja võtab vastu artikli 42 lõike 2 punktis d osutatud lepingusätted või jätab isikuandmete edastamisel kolmandasse riiki või rahvusvahelisele organisatsioonile õiguslikult siduva dokumendiga kehtestamata artikli 42 lõikes 5 osutatud kaitsemeetmed.

 

2. Vastutav töötleja või tema nimel tegutsev volitatud töötleja konsulteerib järelevalveasutusega enne isikuandmete töötlemise algust, et tagada kavandatud töötlemise vastavus käesoleva määruse nõuetele ning vähendada andmesubjektidele tekkivat ohtu, kui:

2. Vastutav töötleja või tema nimel tegutsev volitatud töötleja konsulteerib andmekaitseametnikuga või juhul kui andmekaitseametnikku ei ole määratud, järelevalveasutusega enne isikuandmete töötlemise algust, et tagada kavandatud töötlemise vastavus käesoleva määruse nõuetele ning vähendada andmesubjektidele tekkivat ohtu, kui:

a) artiklis 33 sätestatud isikuandmete kaitse mõjuhinnangu kohaselt kujutavad töötlemistoimingud oma laadi, ulatuse ja eesmärkide tõttu endast konkreetset ja märkimisväärset ohtu või

a) artiklis 33 sätestatud isikuandmete kaitse mõjuhinnangu kohaselt kujutavad töötlemistoimingud oma laadi, ulatuse ja eesmärkide tõttu endast konkreetset ja märkimisväärset ohtu või

b) järelevalveasutus peab vajalikuks eelnevalt konsulteerida selliste lõike 4 kohaselt kindlaksmääratud töötlemistoimingute küsimustes, mis oma olemuse, ulatuse ja/või eesmärgi tõttu võivad tõenäoliselt ohustada andmesubjektide õigusi ja vabadusi.

b) andmekaitseametnik või järelevalveasutus peab vajalikuks eelnevalt konsulteerida selliste lõike 4 kohaselt kindlaksmääratud töötlemistoimingute küsimustes, mis oma olemuse, ulatuse ja/või eesmärgi tõttu võivad tõenäoliselt ohustada andmesubjektide õigusi ja vabadusi.

3. Kui järelevalveasutus on seisukohal, et töötlemine ei vasta käesoleva määruse nõuetele, eelkõige kui töötlemisega kaasnevad ohud ei ole piisavalt kindlaks tehtud ega leevendatud, keelab ta kavandatud töötlemise ja teeb ettepanekud töötlemise vastavusseviimiseks määrusega.

3. Kui pädev järelevalveasutus teeb kooskõlas oma volitustega kindlaks, et töötlemine ei vasta käesoleva määruse nõuetele, eelkõige kui töötlemisega kaasnevad ohud ei ole piisavalt kindlaks tehtud ega leevendatud, keelab ta kavandatud töötlemise ja teeb ettepanekud töötlemise vastavusseviimiseks määrusega.

4. Järelevalveasutus koostab ja avalikustab loetelu töötlemistoimingutest, mille suhtes kohaldatakse lõike 2 punktis b sätestatud eelnevat konsulteerimist. Järelevalveasutus edastab loetelud Euroopa Andmekaitsenõukogule.

4. Euroopa Andmekaitsenõukogu koostab ja avalikustab loetelu töötlemistoimingutest, mille suhtes kohaldatakse lõike 2 punktis b sätestatud eelnevat konsulteerimist.

5. Kui lõikes 4 sätestatud loetelu hõlmab töötlemistoimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele mitmes liikmesriigis või andmesubjektide käitumise kontrollimisega või kui töötlemistoimingud võivad oluliselt mõjutada isikuandmete vaba liikumist Euroopa Liidus, kohaldab järelevalveasutus enne loetelu vastuvõtmist artiklis 57 osutatud järjepidevuse mehhanismi.

 

6. Vastutav töötleja või volitatud töötleja esitab järelevalveasutustele isikuandmete kaitsele avaldatava mõju hinnangu, nagu sätestatud artiklis 33, ja taotluse korral ka muu teabe, mille alusel järelevalveasutus saab hinnata, kas töötlemine, eelkõige andmesubjekti isikuandmete kaitset ohustavate tegurite suhtes võetavad meetmed ja pakutavad kaitsemeetmed vastavad käesolevale määrusele.

6. Vastutav töötleja või volitatud töötleja esitab järelevalveasutustele isikuandmete kaitsele avaldatava mõju hinnangu, nagu sätestatud artiklis 33, ja taotluse korral ka muu teabe, mille alusel järelevalveasutus saab hinnata, kas töötlemine, eelkõige andmesubjekti isikuandmete kaitset ohustavate tegurite suhtes võetavad meetmed ja pakutavad kaitsemeetmed vastavad käesolevale määrusele.

7. Liikmesriigid konsulteerivad järelevalveasutusega, kui nad valmistavad ette riigi parlamendis vastuvõetavat seadusandlikku meedet või seadusandliku meetme alusel võetavat meedet, millega määratakse kindlaks töötlemise laad, et viia kavandatav töötlemine kooskõlla käesoleva määrusega ning eelkõige tagada andmesubjekte ähvardavate ohtude leevendamine.

7. Liikmesriigid konsulteerivad järelevalveasutusega, kui nad valmistavad ette riigi parlamendis vastuvõetavat seadusandlikku meedet või seadusandliku meetme alusel võetavat meedet, millega määratakse kindlaks töötlemise laad, et viia kavandatav töötlemine kooskõlla käesoleva määrusega ning eelkõige tagada andmesubjekte ähvardavate ohtude leevendamine.

8. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõike 2 punktis a osutatud märkimisväärse ohu tuvastamise kriteeriume ja nõudeid.

 

9. Komisjon võib kehtestada lõigetes 1 ja 2 osutatud eelneva loa ja konsultatsioonide ning järelevalveasutuste lõike 6 alusel teavitamise tüüpvormid ja korra. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

Muudatusettepanek 132

Ettepanek võtta vastu määrus

Artikkel 35

Komisjoni ettepanek

Muudatusettepanek

Andmekaitseametniku määramine

Andmekaitseametniku määramine

1. Vastutava töötleja ja volitatud töötleja määravad ametisse andmekaitseametniku, kui:

1. Vastutava töötleja ja volitatud töötleja määravad ametisse andmekaitseametniku, kui:

a) töötleja on avaliku sektori asutus või organ või

a) töötleja on avaliku sektori asutus või organ või

b) töötleja on vähemalt 250 töötajaga ettevõte või

b) töötleja on juriidiline isik ja töötlemine seondub enam kui 5000 andmesubjektiga igal järjestikusel 12-kuulisel ajavahemikul; või

c) vastutava töötleja või volitatud töötleja põhitegevuse moodustavad töötlemistoimingud, mille laad, ulatus ja/või eesmärk tingivad andmesubjektide korrapärase ja süstemaatilise järelevalve.

c) vastutava töötleja või volitatud töötleja põhitegevuse moodustavad töötlemistoimingud, mille laad, ulatus ja/või eesmärk tingivad andmesubjektide korrapärase ja süstemaatilise järelevalve; või

 

d) vastutava töötleja või volitatud töötleja põhitegevus on artikli 9 lõikes 1 osutatud andmete erikategooriate, asukohaandmete või laste ja töötajate isikuandmete töötlemine suurtes toimikusüsteemides.

2. Lõike 1 punktis b osutatud juhul võib kontsernile määrata ühe andmekaitseametniku.

2. Kontsernile võib määrata ühe juhtiva andmekaitseametniku, kui tagatakse, et andmekaitseametnik on hõlpsasti kättesaadav kõikidest tegevuskohtadest.

3. Kui vastutav töötleja või volitatud töötleja on avaliku sektori asutus või organ, võib mitme üksuse jaoks määrata ühe andmekaitseametniku olenevalt avaliku sektori asutuse või organi organisatsioonilisest struktuurist.

3. Kui vastutav töötleja või volitatud töötleja on avaliku sektori asutus või organ, võib mitme üksuse jaoks määrata ühe andmekaitseametniku olenevalt avaliku sektori asutuse või organi organisatsioonilisest struktuurist.

4. Muudel kui lõikes 1 osutatud juhtudel võivad vastutav töötleja ja volitatud töötleja ning neid esindavad ühingud ja organid määrata ühe andmekaitseametniku.

4. Muudel kui lõikes 1 osutatud juhtudel võivad vastutav töötleja ja volitatud töötleja ning neid esindavad ühingud ja organid määrata ühe andmekaitseametniku.

5. Vastutav töötleja ja volitatud töötleja lähtuvad andmekaitseametniku määramisel tema kutseoskustest, eelkõige isikuandmete kaitse alaste õigusaktide ja tava tundmisest ning suutlikkusest täita artiklis 37 osutatud ülesandeid. Erialateadmised määratakse kindlaks eelkõige vastavalt andmete töötlemise laadile ja vastutava töötleja ja volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele.

5. Vastutav töötleja ja volitatud töötleja lähtuvad andmekaitseametniku määramisel tema kutseoskustest, eelkõige isikuandmete kaitse alaste õigusaktide ja tava tundmisest ning suutlikkusest täita artiklis 37 osutatud ülesandeid. Erialateadmised määratakse kindlaks eelkõige vastavalt andmete töötlemise laadile ja vastutava töötleja ja volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele.

6. Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametniku muud ametiülesanded on kooskõlas tema isikuandmete kaitse alaste ülesannete ja kohustustega ega põhjusta huvide konflikti.

6. Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametniku muud ametiülesanded on kooskõlas tema isikuandmete kaitse alaste ülesannete ja kohustustega ega põhjusta huvide konflikti.

7. Vastutava töötleja ja volitatud töötleja määravad andmekaitseametniku vähemalt kaheaastaseks ametiajaks. Andmekaitseametniku võib ametisse tagasi nimetada. Andmekaitseametniku võib tema ametiaja jooksul ametist kõrvaldada ainult juhul, kui ta enam ei vasta kohustuste täitmiseks esitatavatele tingimustele.

7. Vastutav töötleja ja volitatud töötleja määravad andmekaitseametniku vähemalt nelja-aastaseks ametiajaks töötaja puhul või kaheks aastaks välise teenuseosutaja puhul. Andmekaitseametniku võib ametisse tagasi nimetada. Andmekaitseametniku võib tema ametiaja jooksul ametist kõrvaldada ainult juhul, kui ta enam ei vasta kohustuste täitmiseks esitatavatele tingimustele.

8. Andmekaitseametnik võib olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita oma ülesandeid teenuslepingu alusel.

8. Andmekaitseametnik võib olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita oma ülesandeid teenuslepingu alusel.

9. Vastutav töötleja ja volitatud töötleja teevad andmekaitseametniku nime ja kontaktandmed teatavaks järelevalveasutusele ja üldsusele.

9. Vastutav töötleja ja volitatud töötleja teevad andmekaitseametniku nime ja kontaktandmed teatavaks järelevalveasutusele ja üldsusele.

10. Andmesubjektidel on õigus pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemisega, ning taotleda käesolevast määrusest tulenevate õiguste kasutamist.

10. Andmesubjektidel on õigus pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemisega, ning taotleda käesolevast määrusest tulenevate õiguste kasutamist.

11. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõike 1 punktis c osutatud vastutava töötleja ja volitatud töötleja põhitegevuse määratlemise kriteeriume ja nõudeid ning lõikes 5 osutatud andmekaitseametniku kutseoskuse nõudeid.

 

Muudatusettepanek  133

Ettepanek võtta vastu määrus

Artikkel 36

Komisjoni ettepanek

Muudatusettepanek

Andmekaitseametniku ametiseisund

Andmekaitseametniku ametiseisund

1. Vastutav töötleja ja volitatud töötleja tagavad andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitse küsimustesse.

1. Vastutav töötleja ja volitatud töötleja tagavad andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitse küsimustesse.

2. Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametnik on oma ülesannete ja kohustuste täitmisel sõltumatu ega saa oma tööülesannete täitmisel juhtnööre. Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja juhtkonnale.

2. Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametnik on oma ülesannete ja kohustuste täitmisel sõltumatu ega saa oma tööülesannete täitmisel juhtnööre. Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja juhtkonnale. Vastutav töötleja või volitatud töötleja määravad juhtkonda liikme, kes vastutab käesoleva määruse sätete täitmise eest.

3. Vastutava töötleja ja volitatud töötleja toetavad andmekaitseametnikku tema ülesannete täitmisel, andes tema käsutusse töötajad, ruumid, seadmed ja muud artiklis 37 osutatud kohustuste ja ülesannete täitmiseks vajalikud vahendid.

3. Vastutav töötleja ja volitatud töötleja toetavad andmekaitseametnikku tema ülesannete täitmisel, andes tema käsutusse kõik vahendid, sealhulgas töötajad, ruumid, seadmed ja muud artiklis 37 osutatud kohustuste ja ülesannete täitmiseks ning tema kutsealaste teadmiste alalhoidmiseks vajalikud vahendid.

 

4. Andmekaitseametnik on kohustatud hoidma saladuses andmesubjekti isikut ja andmesubjekti isikut tuvastada võimaldavaid asjaolusid, välja arvatud juhul, kui andmesubjekt ta sellest kohustusest vabastab.

Muudatusettepanek  134

Ettepanek võtta vastu määrus

Artikkel 37

Komisjoni ettepanek

Muudatusettepanek

Andmekaitseametniku ülesanded

Andmekaitseametniku ülesanded

1. Vastutav töötleja ja volitatud töötleja annavad andmekaitseametnikule vähemalt järgmised ülesanded:

Vastutav töötleja ja volitatud töötleja annavad andmekaitseametnikule vähemalt järgmised ülesanded:

a) teavitada ja nõustada vastutavat töötlejat ja volitatud töötlejat seoses nende kohustustega, mis tulenevad käesolevast määrusest, ning oma tegevus ja saadud vastused dokumenteerida;

a) suurendada teadlikkust, teavitada ja nõustada vastutavat töötlejat ja volitatud töötlejat seoses nende kohustustega, mis tulenevad käesolevast määrusest, eelkõige seoses tehniliste ja organisatsiooniliste meetmete ja korraga, ning oma tegevus ja saadud vastused dokumenteerida;

b) jälgida vastutava töötleja ja volitatud töötleja isikuandmete kaitse põhimõtete rakendamist ja kohaldamist, sealhulgas ülesannete jaotamist, isikuandmete töötlemises osaleva personali koolitamist ja nendega seotud auditeerimist;

b) jälgida vastutava töötleja ja volitatud töötleja isikuandmete kaitse põhimõtete rakendamist ja kohaldamist, sealhulgas ülesannete jaotamist, isikuandmete töötlemises osaleva personali koolitamist ja nendega seotud auditeerimist;

c) jälgida käesoleva määruse, eelkõige isikuandmete lõimitud ja vaikimisi kaitse, andmeturbe, andmesubjektide teavitamise ning andmesubjektide poolt nende käesolevast määrusest tulenevate õiguste kasutamiseks esitatavate taotluste kohta kehtestatud nõuete rakendamist ja kohaldamist;

c) jälgida käesoleva määruse, eelkõige isikuandmete lõimitud ja vaikimisi kaitse, andmeturbe, andmesubjektide teavitamise ning andmesubjektide poolt nende käesolevast määrusest tulenevate õiguste kasutamiseks esitatavate taotluste kohta kehtestatud nõuete rakendamist ja kohaldamist;

d) tagada artiklis 28 osutatud dokumenteerimine;

d) tagada artiklis 28 osutatud dokumenteerimine;

e) jälgida isikuandmetega seotud rikkumiste dokumenteerimist ning neist teavitamist vastavalt artiklitele 31 ja 32;

e) jälgida isikuandmetega seotud rikkumiste dokumenteerimist ning neist teavitamist vastavalt artiklitele 31 ja 32;

f) jälgida isikuandmete kaitsele avaldatava mõju hinnangu koostamist vastutava töötleja ja volitatud töötleja poolt ning eelneva loa taotlemist ja eelneva konsulteerimise kohaldamist, kui seda nõutakse vastavalt artiklitele 33 ja 34;

f) jälgida isikuandmete kaitsele avaldatava mõju hinnangu koostamist vastutava töötleja ja volitatud töötleja poolt ning eelneva konsulteerimise kohaldamist, kui seda nõutakse vastavalt artiklitele 32a, 33 ja 34;

g) jälgida järelevalveasutuse taotlustele vastamist ja oma pädevuse piires ka temaga koostöö tegemist vastavalt järelevalveasutuse taotlusele või andmekaitseametniku omal algatusel;

g) jälgida järelevalveasutuse taotlustele vastamist ja oma pädevuse piires ka temaga koostöö tegemist vastavalt järelevalveasutuse taotlusele või andmekaitseametniku omal algatusel;

h) tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse kontaktisikuna ja vajaduse korral konsulteerida järelevalveasutusega omal algatusel.

h) tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse kontaktisikuna ja vajaduse korral konsulteerida järelevalveasutusega omal algatusel.

 

i) kontrollida vastavust käesolevale määrusele artiklis 34 sätestatud eelneva konsulteerimise mehhanismi raames;

 

j) teavitada töövõtjate esindajaid töövõtjate andmete töötlemisest.

2. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud ülesannete, sertifitseerimise, ametiseisundi, volituste ja vahendite suhtes kohaldatavaid kriteeriume ja nõudeid.

 

Muudatusettepanek  135

Ettepanek võtta vastu määrus

Artikkel 38

Komisjoni ettepanek

Muudatusettepanek

Toimimisjuhendid

Toimimisjuhendid

1. Selleks et aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse andmetöötlussektorite eripära, toetavad liikmesriigid, järelevalveasutused ja komisjon toimimisjuhendite koostamist eelkõige järgmise kohta:

1. Selleks et aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse andmetöötlussektorite eripära, toetavad liikmesriigid, järelevalveasutused ja komisjon selliste toimimisjuhendite koostamist või järelevalveasutuste koostatud selliste toimimisjuhendite vastuvõtmist, milles käsitletakse eelkõige järgmist:

a) andmete õiglane ja läbipaistev töötlemine;

a) andmete õiglane ja läbipaistev töötlemine;

 

a a) tarbijaõiguste järgimine;

b) andmete kogumine;

b) andmete kogumine;

c) üldsuse ja andmesubjektide teavitamine;

c) üldsuse ja andmesubjektide teavitamine;

d) andmesubjektide taotlused kasutada oma õigusi;

d) andmesubjektide taotlused kasutada oma õigusi;

e) laste teavitamine ja kaitsmine;

e) laste teavitamine ja kaitsmine;

f) andmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele;

f) andmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele;

g) vastutavate töötlejate järelevalve mehhanismid ja vastutavate töötlejate poolt toimimisjuhendi rakendamise tagamine;

g) vastutavate töötlejate järelevalve mehhanismid ja vastutavate töötlejate poolt toimimisjuhendi rakendamise tagamine;

h) vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 73 ja 75.

h) vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 73 ja 75.

2. Liikmesriigi vastutavate töötlejate ja volitatud töötlejate ühendused ja muud organid võivad koostatava, muudetava või täiendatava toimimisjuhendi esitada liikmesriigi järelevalveasutusele arvamuse saamiseks. Järelevalveasutus võib esitada oma arvamuse, kas toimimisjuhendi või muudatuste kavand vastab käesolevale määrusele. Järelevalveasutus palub andmesubjektidel või nende esindajatel esitada kavandi kohta seisukoha.

2. Liikmesriigi vastutavate töötlejate ja volitatud töötlejate ühendused ja muud organid võivad koostatava, muudetava või täiendatava toimimisjuhendi esitada liikmesriigi järelevalveasutusele arvamuse saamiseks. Järelevalveasutus esitab põhjendamatu viivituseta oma arvamuse, kas töötlemine toimimisjuhendi või muudatuste kavandi alusel vastab käesolevale määrusele. Järelevalveasutus palub andmesubjektidel või nende esindajatel esitada kavandi kohta seisukoha.

3. Mitme liikmesriigi vastutavate töötlejate ja volitatud töötlejate ühendused ja muud organid võivad esitada toimimisjuhendi ja selle muudatuste kavandi komisjonile.

3. Mitme liikmesriigi vastutavate töötlejate või volitatud töötlejate ühendused ja muud organid võivad esitada toimimisjuhendi ja selle muudatuste kavandi komisjonile.

4. Komisjon võib oma rakendusaktiga otsustada, et talle vastavalt lõikele 3 esitatud toimimisjuhendid ning nende muudatused ja täiendused kehtivad terves liidus. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 sätestatud kontrollimenetlusega.

4. Komisjoni volitatakse võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist vastavalt artiklile 86 vastu delegeeritud õigusakte, et otsustada, et talle vastavalt lõikele 3 esitatud toimimisjuhendid ning nende muudatused ja täiendused on kooskõlas käesoleva määrusega ja kehtivad terves liidus. Nende delegeeritud õigusaktidega antakse andmesubjektidele kohtulikult kaitstavad õigused.

5. Komisjon tagab nõuetekohase teavitamise lõike 4 kohase otsusega terves liidus kehtivaks tunnistatud toimimisjuhenditest.

5. Komisjon tagab nõuetekohase teavitamise lõike 4 kohase otsusega terves liidus kehtivaks tunnistatud toimimisjuhenditest.

Muudatusettepanek  136

Ettepanek võtta vastu määrus

Artikkel 39

Komisjoni ettepanek

Muudatusettepanek

Sertifitseerimine

Sertifitseerimine

1. Liikmesriigid ja komisjon toetavad eelkõige Euroopa tasandil isikuandmete kaitse sertifitseerimise mehhanismide ning isikuandmete kaitse pitserite ja märgiste kasutuselevõttu, et andmesubjektid saaksid kiiresti hinnata vastutavate töötlejate ja volitatud töötlejate pakutavat isikuandmete kaitse taset. Isikuandmete kaitse sertifitseerimise mehhanismid aitavad kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse eri sektorite ja töötlemistoimingute laadi.

 

 

1 a. Vastutav töötleja või volitatud töötleja võib nõuda liidu mis tahes järelevalveasutuselt halduskulusid arvestava mõistliku tasu eest sertifitseerimist, et isikuandmeid töödeldakse kooskõlas käesoleva määrusega, eelkõige kooskõlas artiklis 5, 23 ja 30 sätestatud põhimõtetega, vastutava töötleja või volitatud töötleja kohustustega ja andmesubjekti õigustega.

 

1 b. Sertifitseerimine on vabatahtlik, taskukohane ning ligipääsetav protsessi kaudu, mis on läbipaistev ja ei ole põhjendamatult koormav.

 

1 c. Järelevalveasutused ja Euroopa Andmekaitsenõukogu teevad artikli 57 kohase järjepidevuse mehhanismi alusel koostööd, et tagada ühtlustatud andmekaitsemehhanism, sealhulgas ühtlustatud tasud kogu liidus.

 

1 d. Sertifitseerimismenetluse käigus võib järelevalveasutus akrediteerida kutselise sõltumatu audiitori viima oma nimel läbi vastutava töötleja või volitatud töötleja auditeerimist. Sõltumatutel audiitoritel on piisavalt kvalifitseeritud töötajad, nad on erapooletud ja nende puhul ei ilmne huvide konflikte seoses nende ülesannetega. Kui on põhjust arvata, et audiitor ei täida oma kohustusi nõuetekohaselt, tühistavad järelevalveasutused tema akrediteeringu. Lõpliku sertifitseerimise korraldab järelevalveasutus.

 

1 e. Järelevalveasutused annavad vastutavatele töötlejatele ja volitatud töötlejatele, kes auditeerimise kohaselt on sertifitseeritud, et nad töötlevad isikuandmeid kooskõlas käesoleva määrusega, ühtlustatud isikuandmete kaitse märgise „Euroopa isikuandmete kaitse pitser”.

 

1 f. Märgis „Euroopa isikuandmete kaitse pitser” kehtib niikaua, kui sertifitseeritud vastutava töötleja või volitatud töötleja andmetöötlemistoimingud on täielikult käesoleva määrusega kooskõlas.

 

1 g. Ilma et see piiraks lõike 1 f kohaldamist, kehtib sertifikaat viis aastat.

 

1 h. Euroopa Andmekaitsenõukogu loob avaliku elektroonilise registri, millest üldsus saab vaadata kõiki liikmesriikides välja antud kehtivaid ja kehtetuid sertifikaate.

 

1 i. Euroopa Andmekaitsenõukogu võib omal algatusel sertifitseerida, et andmekaitset tõhustav tehniline standard on käesoleva määrusega kooskõlas.

2. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud isikuandmete kaitse sertifitseerimise mehhanismide, sealhulgas sertifikaadi andmise ja tühistamise ning liidus ja kolmandates riikides tunnustamise suhtes kohaldatavaid kriteeriume ja nõudeid.

2. Komisjoni volitatakse vastavalt artiklile 86 võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist ja sidusrühmadega, eelkõige tööstuse ja valitsusväliste organisatsioonidega konsulteerimist vastu delegeeritud õigusakte, et täpsustada lõigetes 1a–1h osutatud isikuandmete kaitse sertifitseerimise mehhanismide, sealhulgas audiitorite akrediteerimise nõudeid ning sertifikaadi andmise ja tühistamise ning liidus ja kolmandates riikides tunnustamise ja edendamise suhtes kohaldatavaid kriteeriume ja nõudeid. Nende delegeeritud õigusaktidega antakse andmesubjektidele kohtulikult kaitstavad õigused.

3. Sertifitseerimismehhanismide ning isikuandmete kaitse pitserite ja märgiste kasutuselevõtu edendamiseks ja tunnustamiseks võib komisjon kehtestada sertifitseerimismehhanismide ning isikuandmete kaitse pitserite ja märgiste tehnilised standardid. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 sätestatud kontrollimenetlusega.

 

Muudatusettepanek  137

Ettepanek võtta vastu määrus

Artikkel 41

Komisjoni ettepanek

Muudatusettepanek

Edastamine piisava kaitse otsuse alusel

Edastamine piisava kaitse otsuse alusel

1. Edastamine võib toimuda siis, kui komisjon on teinud otsuse, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Sellise edastamise puhul ei ole täiendavat luba vaja.

1. Edastamine võib toimuda siis, kui komisjon on teinud otsuse, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Sellise edastamise puhul ei ole konkreetset luba vaja.

2. Isikuandmete kaitse piisavuse hindamisel kaalub komisjon järgmisi asjaolusid:

2. Isikuandmete kaitse piisavuse hindamisel kaalub komisjon järgmisi asjaolusid:

a) õigusriigi põhimõte, nii üldised kui ka konkreetse sektori kehtivad asjaomased õigusaktid, sealhulgas avaliku korra, riigikaitse, riigi julgeoleku ja kriminaalõigusega seotud õigusaktid, kõnealuses riigis või rahvusvahelises organisatsioonis järgitavad ametieeskirjad ja turvameetmed ning samuti kehtivad ja kohtulikult kaitstavad õigused, sealhulgas andmesubjektide halduslikud ja õiguskaitsevahendid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse;

a) õigusriigi põhimõte, nii üldised kui ka konkreetse sektori kehtivad asjaomased õigusaktid, sealhulgas avaliku korra, riigikaitse, riigi julgeoleku ja kriminaalõigusega ning käesoleva õigusakti rakendamisega seotud õigusaktid, kõnealuses riigis või rahvusvahelises organisatsioonis järgitavad ametieeskirjad ja turvameetmed, kohtupraktikast tulevad nõuded ning samuti kehtivad ja kohtulikult kaitstavad õigused, sealhulgas andmesubjektide halduslikud ja õiguskaitsevahendid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse;

b) kõnealuses kolmandas riigis või rahvusvahelises organisatsioonis ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine, kes vastutab isikuandmete kaitse eeskirjade järgimise eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liidu ja liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

b) kõnealuses kolmandas riigis või rahvusvahelises organisatsioonis ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine, kes vastutab isikuandmete kaitse eeskirjade järgimise, kaasa arvatud piisavate karistuste kohaldamise õiguste eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liidu ja liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

c) kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused.

c) kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused, eelkõige isikuandmete kaitsega seotud õiguslikult siduvad konventsioonid või vahendid.

3. Komisjon võib otsustada, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme lõike 2 tähenduses. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et otsustada, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme lõike 2 tähenduses. Selliste delegeeritud õigusaktidega kehtestatakse aegumisklausel, kui nad on seotud isikuandmete töötlemisega, ja need tühistatakse lõike 5 kohaselt juhul, kui käesoleva määruse kohane isikuandmete kaitse piisav tase ei ole enam tagatud.

4. Rakendusaktis määratakse kindlaks selle geograafiline ja valdkondlik kohaldatavus ning vajaduse korral määratakse kindlaks lõike 2 punktis b nimetatud järelevalveasutus.

4. Delegeeritud õigusaktis määratakse kindlaks selle territoriaalne ja valdkondlik kohaldatavus ning vajaduse korral määratakse kindlaks lõike 2 punktis b nimetatud järelevalveasutus.

 

4 a. Komisjon jälgib korrapäraselt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võivad mõjutada lõikes 2 loetletud elementide saavutamist seoses sellega, milline lõike 3 kohane delegeeritud õigusakt on vastu võetud.

5. Komisjon võib otsustada, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon ei taga isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, eelkõige juhul, kui kolmandas riigis või rahvusvahelises organisatsioonis kehtivate üldiste ja konkreetse sektori asjaomaste õigusaktidega ei tagata kehtivaid ja kohtulikult kaitstavaid õigusi, sealhulgas andmesubjektide halduslikke ja õiguskaitsevahendeid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega või äärmiselt kiireloomulistel juhtudel seoses üksikisiku õigusega isikuandmete kaitsele kooskõlas artikli 87 lõikes 3 osutatud menetlusega.

5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et otsustada, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon ei taga isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, eelkõige juhul, kui kolmandas riigis või rahvusvahelises organisatsioonis kehtivate üldiste ja konkreetse sektori asjaomaste õigusaktidega ei tagata kehtivaid ja kohtulikult kaitstavaid õigusi, sealhulgas andmesubjektide halduslikke ja õiguskaitsevahendeid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse.

6. Kui komisjon teeb lõike 5 kohase otsuse, on mis tahes isikuandmete edastamine kolmandale riigile või territooriumile või kõnealuse kolmanda riigi töötlemissektorile või rahvusvahelisele organisatsioonile keelatud, ilma et see piiraks artiklite 42–44 kohaldamist. Komisjon alustab sobival ajal konsultatsioone kolmanda riigi või rahvusvahelise organisatsiooniga, et parandada käesoleva artikli lõike 5 kohasest otsusest tulenevat olukorda.

6. Kui komisjon teeb lõike 5 kohase otsuse, on mis tahes isikuandmete edastamine kolmandale riigile või territooriumile või kõnealuse kolmanda riigi töötlemissektorile või rahvusvahelisele organisatsioonile keelatud, ilma et see piiraks artiklite 42–44 kohaldamist. Komisjon alustab sobival ajal konsultatsioone kolmanda riigi või rahvusvahelise organisatsiooniga, et parandada käesoleva artikli lõike 5 kohasest otsusest tulenevat olukorda.

 

6 a. Enne lõigete 3 või 5 kohase delegeeritud õigusakti vastuvõtmist taotleb komisjon Euroopa Andmekaitsenõukogult arvamust kaitsetaseme piisavuse kohta. Enne lõigete 3 või 5 kohase delegeeritud õigusakti vastuvõtmist taotleb komisjon Euroopa Andmekaitsenõukogult arvamust kaitsetaseme piisavuse kohta.

7. Komisjon avaldab Euroopa Liidu Teatajas loetelu nendest kolmandatest riikidest, territooriumidest ja kolmandate riikide töötlemissektoritest ja rahvusvahelistest organisatsioonidest, mille kohta on tehtud otsus, et isikuandmete kaitse piisav tase ei ole tagatud.

7. Komisjon avaldab Euroopa Liidu Teatajas ja oma veebisaidil loetelu nendest kolmandatest riikidest, territooriumidest ja kolmandate riikide töötlemissektoritest ja rahvusvahelistest organisatsioonidest, mille kohta on tehtud otsus, et isikuandmete kaitse piisav tase ei ole tagatud.

8. Komisjoni otsused, mis on vastu võetud vastavalt direktiivi 95/46/EÜ artikli 25 lõikele 6 või artikli 26 lõikele 4, jäävad jõusse, kuni komisjon neid muudab, need asendab või tunnistab need kehtetuks.

8. Komisjoni otsused, mis on vastu võetud vastavalt direktiivi 95/46/EÜ artikli 25 lõikele 6 või artikli 26 lõikele 4, jäävad jõusse kuni viis aastat pärast käesoleva määruse jõustumist, välja arvatud juhul, kui komisjon neid enne selle ajavahemiku lõppu muudab, asendab või need kehtetuks tunnistab.

Muudatusettepanek  138

Ettepanek võtta vastu määrus

Artikkel 42

Komisjoni ettepanek

Muudatusettepanek

Edastamine asjakohaste kaitsemeetmete abil

Edastamine asjakohaste kaitsemeetmete abil

1. Kui komisjon ei ole teinud artikli 41 kohast otsust, võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on õiguslikult siduvas dokumendis sätestanud isikuandmete kaitseks asjakohased kaitsemeetmed.

1. Kui komisjon ei ole teinud artikli 41 kohast otsust või otsustab, et kolmas riik või territoorium või kõnealuse kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon ei taga piisavat andmekaitse taset vastavalt artikli 41 lõikele 5, ei või vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui vastutav töötleja või volitatud töötleja on õiguslikult siduvas dokumendis sätestanud isikuandmete kaitseks asjakohased kaitsemeetmed.

2. Lõikes 1 osutatud asjakohased kaitsemeetmed lisatakse eelkõige:

2. Lõikes 1 osutatud asjakohased kaitsemeetmed lisatakse eelkõige:

a) siduvatele ettevõtluseeskirjadele vastavalt artiklile 43 või

a) siduvatele ettevõtluseeskirjadele vastavalt artiklile 43 või

 

a a) vastavalt artikli 39 lõikele 1 e vastutava töötleja või volitatud töötleja kehtivale märgisele „Euroopa isikuandmete kaitse pitser” või

b) isikuandmete kaitse standardklauslitele, mille on vastu võtnud komisjon. Kõnealused rakendusaktid võetakse vastu artikli 87 lõikes 2 osutatud kontrollimenetluse kohaselt või

 

c) isikuandmete kaitse standardklauslitele, mille on vastu võtnud järelevalveasutus vastavalt artiklis 57 osutatud järjepidevuse mehhanismile pärast seda, kui komisjon on need artikli 62 lõike 1 punkti b kohaselt tunnistanud üldkehtivaks; või

c) isikuandmete kaitse standardklauslitele, mille on vastu võtnud järelevalveasutus vastavalt artiklis 57 osutatud järjepidevuse mehhanismile pärast seda, kui komisjon on need artikli 62 lõike 1 punkti b kohaselt tunnistanud üldkehtivaks; või

d) vastutava töötleja või volitatud töötleja ja järelevalveasutuse poolt vastavalt lõikele 4 volitatud andmesaaja vahelistele lepingutingimustele.

d) vastutava töötleja või volitatud töötleja ja järelevalveasutuse poolt vastavalt lõikele 4 volitatud andmesaaja vahelistele lepingutingimustele.

3. Lõike 2 punktides a, b või c osutatud isikuandmete kaitse standardklauslitel või siduvatel ettevõtluseeskirjadel põhineva edastamise puhul ei ole täiendavat luba vaja.

3. Lõike 2 punktides a, a a või c osutatud isikuandmete kaitse standardklauslitel, märgisel „Euroopa isikuandmete kaitse pitser” või siduvatel ettevõtluseeskirjadel põhineva edastamise puhul ei ole konkreetset luba vaja.

4. Kui edastamine põhineb käesoleva artikli lõike 2 punktis d osutatud lepingutingimustel, peab vastutav töötleja või volitatud töötleja saama järelevalveasutuselt eelneva loa vastavalt artikli 34 lõike 1 punktile a. Juhul kui edastamine on seotud töötlemisega, mis puudutab teise liikmesriigi või teiste liikmesriikide andmesubjekte või mis mõjutab märgatavalt isikuandmete vaba liikumist liidu piires, kohaldab järelevalveasutus artiklis 57 osutatud järjepidevuse mehhanismi.

4. Kui edastamine põhineb käesoleva artikli lõike 2 punktis d osutatud lepingutingimustel, peab vastutav töötleja või volitatud töötleja saama järelevalveasutuselt eelneva loa. Juhul kui edastamine on seotud töötlemisega, mis puudutab teise liikmesriigi või teiste liikmesriikide andmesubjekte või mis mõjutab märgatavalt isikuandmete vaba liikumist liidu piires, kohaldab järelevalveasutus artiklis 57 osutatud järjepidevuse mehhanismi.

5. Kui õiguslikult siduvas dokumendis ei ole isikuandmete kaitseks sätestatud asjakohaseid kaitsemeetmeid, peab vastutav töötleja või volitatud töötleja saama eelneva loa edastamise või edastamistoimingute kogumi või edastamise aluseks olevasse halduskokkuleppesse lisatavate sätete jaoks. Järelevalveasutus annab sellise loa kooskõlas artikli 34 lõike 1 punktiga a. Juhul kui edastamine on seotud töötlemisega, mis puudutab teise liikmesriigi või teiste liikmesriikide andmesubjekte või mis mõjutab märgatavalt isikuandmete vaba liikumist liidu piires, kohaldab järelevalveasutus artiklis 57 osutatud järjepidevuse mehhanismi. Direktiivi 95/46/EÜ artikli 26 lõike 2 alusel järelevalveasutuse antud load jäävad kehtima, kuni järelevalveasutus neid muudab, need asendab või tunnistab need kehtetuks.

5. Direktiivi 95/46/EÜ artikli 26 lõike 2 alusel järelevalveasutuse antud load jäävad kehtima kaheks aastaks pärast käesoleva määruse jõustumist, välja arvatud juhul, kui järelevalveasutus neid enne selle ajavahemiku lõppu muudab, need asendab või need kehtetuks tunnistab.

Muudatusettepanek 139

Ettepanek võtta vastu määrus

Artikkel 43

Komisjoni ettepanek

Muudatusettepanek

Edastamine siduvate ettevõtluseeskirjade alusel

Edastamine siduvate ettevõtluseeskirjade alusel

1. Järelevalveasutus kehtestab kooskõlas artiklis 58 osutatud järjepidevuse mehhanismiga siduvad ettevõtluseeskirjad, tingimusel et need:

1. Järelevalveasutus kehtestab kooskõlas artiklis 58 osutatud järjepidevuse mehhanismiga siduvad ettevõtluseeskirjad, tingimusel et need:

a) on õiguslikult siduvad ja neid kohaldatakse vastutava töötleja või volitatud töötleja ettevõtjate rühma iga liikme, sealhulgas nende töötajate suhtes ning kõik täidavad neid;

a) on õiguslikult siduvad ja neid kohaldatakse vastutava töötleja kontserni ma iga liikme ja nende väliste alltöövõtjate suhtes, kes kuuluvad siduvate kontsernisiseste eeskirjade reguleerimisalasse, sealhulgas nende töötajate suhtes ning kõik täidavad neid;

b) sõnaselgelt annavad andmesubjektidele kohtulikult kaitstavad õigused;

b) sõnaselgelt annavad andmesubjektidele kohtulikult kaitstavad õigused;

c) vastavad lõikes 2 sätestatud nõuetele.

c) vastavad lõikes 2 sätestatud nõuetele.

 

1 a. Tööhõiveandmete puhul tuleb töötajate esindajaid teavitada artikli 43 kohastest siduvatest kontsernisisestest eeskirjadest ning kaasata neid vastavalt liidu või liikmesriikide õigusele ja tavadele nende väljatöötamisse.

2. Siduvates ettevõtluseeskirjades tuleb täpsustada vähemalt järgmist:

2. Siduvates ettevõtluseeskirjades tuleb täpsustada vähemalt järgmist:

a) ettevõtjate rühma ja selle liikmete struktuur ja kontaktandmed;

a) kontserni ja selle liikmete struktuur ja kontaktandmed ning nende välised alltöövõtjad, kes kuuluvad siduvate kontsernisiseste eeskirjade reguleerimisalasse;

b) edastamine või edastamistoimingute kogumid, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektid ning kõnealuse kolmanda riigi või riikide andmed;

b) edastamine või edastamistoimingute kogumid, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektid ning kõnealuse kolmanda riigi või riikide andmed;

c) nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

c) nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

d) üldised isikuandmete kaitse põhimõtted, eelkõige eesmärgi piiritlemine, andmete kvaliteet, töötlemise õiguslik alus, tundlike isikuandmete töötlemine; andmeturbe tagamise meetmed; andmete edasine edastamine organisatsioonidele, kelle suhtes need eeskirjad ei ole siduvad;

d) üldised isikuandmete kaitse põhimõtted, eelkõige eesmärgi piiritlemine, minimaalne andmehulk, piiratud säilitamisaeg, andmete kvaliteet, isikuandmete vaikimisi kaitse ja lõimitud kaitse, töötlemise õiguslik alus, tundlike isikuandmete töötlemine; andmeturbe tagamise meetmed; andmete edasine edastamine organisatsioonidele, kelle suhtes need eeskirjad ei ole siduvad;

e) andmesubjektide õigused ja nende õiguste kasutamise vahendid, kaasa arvatud õigus mitte alluda artikli 20 kohasele profiilianalüüsil põhinevale meetmele, õigus esitada artikli 75 kohane kaebus pädevale järelevalveasutusele ja pädevale kohtule liikmesriigis ning siduvate ettevõtluseeskirjade rikkumise korral taotleda kahju hüvitamist ja vajaduse korral kompensatsiooni;

e) andmesubjektide õigused ja nende õiguste kasutamise vahendid, kaasa arvatud õigus mitte alluda artikli 20 kohasele profiilianalüüsil põhinevale meetmele, õigus esitada artikli 75 kohane kaebus pädevale järelevalveasutusele ja pädevale kohtule liikmesriigis ning siduvate ettevõtluseeskirjade rikkumise korral taotleda kahju hüvitamist ja vajaduse korral kompensatsiooni;

f) liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate ettevõtluseeskirjade rikkumise korral, kui selle paneb toime ettevõtjate rühma liige, kes ei asu Euroopa Liidus. Vastutava töötleja või volitatud töötleja võib kõnealusest vastutusest täielikult või osaliselt vabastada vaid siis, kui ta tõestab, et liige ei ole kahju tekitamise eest vastutav;

f) liikmesriigi territooriumil asuva vastutava töötleja nõusolek võtta vastutus siduvate ettevõtluseeskirjade rikkumise korral, kui selle paneb toime ettevõtjate rühma liige, kes ei asu Euroopa Liidus. Vastutava töötleja võib kõnealusest vastutusest täielikult või osaliselt vabastada vaid siis, kui ta tõestab, et liige ei ole kahju tekitamise eest vastutav;

g) kuidas kooskõlas artikliga 11 edastatakse andmesubjektidele siduvate ettevõtluseeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta teavet;

g) kuidas kooskõlas artikliga 11 edastatakse andmesubjektidele siduvate ettevõtluseeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta teavet;

h) kooskõlas artikliga 35 ametisse nimetatud andmekaitseametniku ülesanded, sealhulgas ettevõtjate rühmas järelevalve teostamine siduvate ettevõtluseeskirjade täitmise ning samuti koolitamise ja kaebuste käsitlemise üle;

h) kooskõlas artikliga 35 ametisse nimetatud andmekaitseametniku ülesanded, sealhulgas kontsernis järelevalve teostamine siduvate ettevõtluseeskirjade täitmise ning samuti koolitamise ja kaebuste käsitlemise üle;

i) ettevõtjate rühma sisemehhanismid, mille eesmärk on tagada siduvate ettevõtluseeskirjade täitmise kontrollimine;

i) kontserni sisemehhanismid, mille eesmärk on tagada siduvate ettevõtluseeskirjade täitmise kontrollimine;

j) mehhanismid poliitikamuudatuste registreerimiseks ning järelevalveasutuse teavitamiseks nendest muudatustest;

j) mehhanismid poliitikamuudatuste registreerimiseks ning järelevalveasutuse teavitamiseks nendest muudatustest;

k) mehhanism koostööks järelevalveasutusega, et tagada ettevõtjate rühma liikme nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks käesoleva lõike punktis i osutatud meetmete kontrollimise tulemused.

k) mehhanism koostööks järelevalveasutusega, et tagada kontserni liikme nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks käesoleva lõike punktis i osutatud meetmete kontrollimise tulemused.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse siduvate ettevõtluseeskirjade tingimusi ja nõudeid käesoleva artikli tähenduses, eelkõige seoses nende heakskiitmise tingimustega, lõike 2 punktide b, d, e ja f kohaldamisega volitatud töötlejate poolt täidetavate siduvate ettevõtluseeskirjade suhtes ja täiendavate nõuetega, et tagada asjaomaste andmesubjektide isikuandmete kaitse.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse siduvate ettevõtluseeskirjade vormingut, menetlusi, tingimusi ja nõudeid käesoleva artikli tähenduses, eelkõige seoses nende heakskiitmise tingimustega, kaasa arvatud läbipaistvus andmesubjektide jaoks, lõike 2 punktide b, d, e ja f kohaldamisega volitatud töötlejate poolt täidetavate siduvate ettevõtluseeskirjade suhtes ja täiendavate nõuetega, et tagada asjaomaste andmesubjektide isikuandmete kaitse.

4. Komisjon võib täpsustada vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid ettevõtluseeskirju käsitleva elektroonilise teabevahetuse vormi ja korra käesoleva artikli tähenduses. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 sätestatud kontrollimenetlusega.

 

Muudatusettepanek  140

Ettepanek võtta vastu määrus

Artikkel 43 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 43 a

 

Andmete edastamine või avaldamine juhtudel, kui liidu õigusaktidega ei ole see lubatud

 

1. Kolmanda riigi kohtu ega haldusasutuse otsust, millega nõutakse vastutavalt töötlejalt või volitatud töötlejalt isikuandmete avaldamist, ei tunnustata ja seda ei ole võimalik mis tahes viisil täitmisele pöörata, mis ei piira nõude esitanud kolmanda riigi ja liidu või liikmesriigi vahel kehtiva vastastikuse õigusliku abistamise lepingu või rahvusvahelise lepingu kohaldamist.

 

2. Kui kolmanda riigi kohtu otsuses või kolmanda riigi haldusasutuse otsuses nõutakse, et vastutav töötleja või volitatud töötleja avaldaks isikuandmeid, teavitab vastutav või volitatud töötleja, ja kui, siis vastutava töötleja esindaja pädevat järelevalveasutust taotlusest põhjendamatu viivituseta ja peab saama järelevalveasutuselt eelneva loa andmete edastamiseks või avaldamiseks.

 

3. Järelevalveasutus hindab nõutud avaldamise vastavust määrusele ja eelkõige seda, kas avaldamine on vastavalt artikli 44 lõike 1 punktidele d ja e ning artikli 44 lõikele 5 vajalik ja õiguslikult nõutav. Kui see mõjutab teiste liikmesriikide andmesubjekte, kohaldab järelevalveasutus artiklis 57 osutatud järjepidevuse mehhanismi.

 

4. Järelevalveasutus teavitab taotlusest pädevat riigiasutust. Ilma et see piiraks artikli 21 kohaldamist, teavitab vastutav töötleja või volitatud töötleja järelevalveasutuse taotlusel ja loal andmesubjekti ning vajaduse korral teavitab andmesubjekti sellest, kas viimase järjestikuse 12-kuulise ajavahemiku jooksul edastati isikuandmed avaliku sektori asutusele vastavalt artikli 14 lõike 1 punktile h a.

Muudatusettepanek  141

Ettepanek võtta vastu määrus

Artikkel 44

Komisjoni ettepanek

Muudatusettepanek

Erandid

Erandid

1. Artikli 41 kohase piisava kaitse otsuse või artikli 42 kohaste asjaomaste kaitsemeetmete puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmeid edastada ainult tingimusel, et:

1. Artikli 41 kohase piisava kaitse otsuse või artikli 42 kohaste asjaomaste kaitsemeetmete puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmeid edastada ainult tingimusel, et:

a) andmesubjekt on edastamiseks andnud nõusoleku pärast seda, kui teda teavitati sellise edastamise riskidest, mis tulenevad piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest, või

a) andmesubjekt on edastamiseks andnud nõusoleku pärast seda, kui teda teavitati sellise edastamise riskidest, mis tulenevad piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest, või

b) edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks või

b) edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks või

c) edastamine on vajalik vastutava töötleja või muu füüsilise või juriidilise isiku vahelise lepingu sõlmimiseks andmesubjekti huvides või selle täitmiseks või

c) edastamine on vajalik vastutava töötleja või muu füüsilise või juriidilise isiku vahelise lepingu sõlmimiseks andmesubjekti huvides või selle täitmiseks või

d) edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel või

d) edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel või

e) edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või

e) edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või

f) edastamine on vajalik selleks, et kaitsta andmesubjekti või teise isiku olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma, või

f) edastamine on vajalik selleks, et kaitsta andmesubjekti või teise isiku olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma, või

g) edastamine tehakse registrist, mis liidu või liikmesriigi õigusaktide kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud laiemale avalikkusele või kõigile õigustatud huviga isikutele, kuivõrd konkreetsel juhul täidetakse tutvumist käsitlevaid tingimusi, mis liidu või liikmesriigi õigusaktidega on ette nähtud, või

g) edastamine tehakse registrist, mis liidu või liikmesriigi õigusaktide kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud laiemale avalikkusele või kõigile õigustatud huviga isikutele, kuivõrd konkreetsel juhul täidetakse tutvumist käsitlevaid tingimusi, mis liidu või liikmesriigi õigusaktidega on ette nähtud, või

h) edastamine on vajalik, et kaitsta vastutava töötleja või volitatud töötleja õigustatud huvi, mida esineb harva ja mis ei ole mahukas, ning siis kui vastutav töötleja või volitatud töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ning sellele hinnangule tuginedes on seoses isikuandmete kaitsega vajaduse korral lisanud asjakohased kaitsemeetmed.

 

2. Lõike 1 punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid või isikuandmete täielikke kategooriaid. Kui register on mõeldud õigustatud huviga isikutele tutvumiseks, toimub edastamine vaid nende isikute taotluse korral või kui nemad ise on andmete vastuvõtjad.

2. Lõike 1 punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid või isikuandmete täielikke kategooriaid. Kui register on mõeldud õigustatud huviga isikutele tutvumiseks, toimub edastamine vaid nende isikute taotluse korral või kui nemad ise on andmete vastuvõtjad.

3. Kui andmete töötlemine põhineb lõike 1 punktil h, peab vastutav töötleja või volitatud töötleja pöörama erilist tähelepanu andmete laadile, kavandatud töötlemistoimingu või töötlemistoimingute eesmärgile ja kestusele ning samuti olukorrale andmete päritoluriigis, kolmandas riigis ja lõplikus sihtriigis ning vajaduse korral seoses isikuandmete kaitsega lisatud asjaomastele kaitsemeetmetele.

 

4. Lõike 1 punkte b, c ja h ei kohaldata avalikku võimu teostavate riigiasutuste suhtes.

4. Lõike 1 punkte b ja c ei kohaldata avalikku võimu teostavate avaliku sektori asutuste suhtes.

5. Lõike 1 punktis d osutatud avalik huvi peab olema tunnustatud liidu õigusaktides või liikmesriigi õiguses, mida vastutava töötaja suhtes kohaldatakse.

5. Lõike 1 punktis d osutatud avalik huvi peab olema tunnustatud liidu õigusaktides või liikmesriigi õiguses, mida vastutava töötaja suhtes kohaldatakse.

6. Vastutav töötleja või volitatud töötleja registreerivad hindamise ja ka käesoleva artikli lõike 1 punktis h osutatud asjakohased lisatud kaitsemeetmed artiklis 28 osutatud dokumentides ning teavitavad edastamisest järelevalveasutust.

 

7. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse lõike 1 punktis d osutatud avalikust huvist tulenevaid kaalukaid põhjuseid ning samuti lõike 1 punktis h osutatud asjakohaste kaitsemeetmete kriteeriume ja tingimusi.

7. Vastavalt artiklile 66 usaldatakse Euroopa Andmekaitsenõukogule artikli 66 lõike 1 punktile b kohaste suuniste, soovituste ja parimate tavade avaldamine, et täpsustada lõikel 1 põhineva andmeedastuse kriteeriume ja nõudeid.

Muudatusettepanek  142

Ettepanek võtta vastu määrus

Artikkel 45 – lõige 1 – punkt a

Komisjoni ettepanek

Muudatusettepanek

a) töötada välja tõhusad rahvusvahelised koostöömehhanismid, et hõlbustada isikuandmete kaitset käsitlevate õigusaktide täitmise tagamist;

a) töötada välja tõhusad rahvusvahelised koostöömehhanismid, et tagada isikuandmete kaitset käsitlevate õigusaktide täitmine;

Muudatusettepanek  143

Ettepanek võtta vastu määrus

Artikkel 45 – lõige 1 – punkt d a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

d a) kolmandate riikidega kohtualluvuse osas valitsevate lahkarvamuste selgitamine ja selleteemaline nõustamine;

Muudatusettepanek  144

Ettepanek võtta vastu määrus

Artikkel 45 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 45 a

 

Komisjoni aruanne

 

Komisjon esitab Euroopa Parlamendile ja nõukogule korrapäraste ajavahemike järel artiklite 40–45 kohaldamist käsitleva aruande, alustades sellega hiljemalt neli aastat pärast artikli 91 lõikes 1 viidatud kuupäeva. Selleks võib komisjon taotleda liikmesriikidelt ja järelevalveasutustelt teavet, mis antakse talle põhjendamatu viivituseta. Aruanne tehakse üldsusele kättesaadavaks.

Muudatusettepanek  145

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Järelevalveasutus tegutseb oma kohustuste täitmisel ja talle usaldatud volituste kasutamisel täiesti sõltumatult.

1. Järelevalveasutus tegutseb oma kohustuste täitmisel ja talle usaldatud volituste kasutamisel täiesti sõltumatult ja erapooletult, olenemata käesoleva määruse VII peatüki koostöö- ja järjepidevustegevusest.

Muudatusettepanek  146

Ettepanek võtta vastu määrus

Artikkel 47 – lõige 7 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

7 a. Eelarvekontrolliga seotud põhjustel tagab iga liikmesriik, et järelevalveasutus annab aru riigi parlamendile.

Muudatusettepanek  147

Ettepanek võtta vastu määrus

Artikkel 50

Komisjoni ettepanek

Muudatusettepanek

Ametisaladus

Ametisaladus

Järelevalveasutuse liikmed on kohustatud nii ametiajal kui ka pärast ametist lahkumist hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis neile ametikohustuste täitmisel on teatavaks saanud.

Järelevalveasutuse liikmed on kohustatud nii ametiajal kui ka pärast ametist lahkumist vastavalt riigisisestele õigusaktidele ja tavadele hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis neile ametikohustuste täitmisel on teatavaks saanud, täites oma kohustusi sõltumatult ja läbipaistvalt, nagu on sätestatud määruses.

Muudatusettepanek 148

Ettepanek võtta vastu määrus

Artikkel 51 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Iga järelevalveasutus kasutab oma liikmesriigi territooriumil talle käesoleva määrusega antud volitusi.

1. Iga järelevalveasutus on pädev täitma oma kohustusi ja kasutama talle käesoleva määrusega oma liikmesriigi territooriumil antud volitusi, ilma et see piiraks artikli 73 ja 74 kohaldamist. Avaliku sektori asutuses toimuva andmetöötluse üle teostab järelevalvet ainult selle liikmesriigi järelevalveasutus.

 

Muudatusettepanek  149

Ettepanek võtta vastu määrus

Artikkel 51 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2. Kui isikuandmete töötlemine toimub liidus asuva vastutava töötleja või volitatud töötleja tegevuse käigus ning vastutav töötleja või volitatud töötleja omab tegevuskohta mitmes liikmesriigis, on vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus pädev korraldama järelevalvet vastutava töötleja või volitatud töötleja töötlemistoimingute üle kõikides liikmesriikides, ilma et see piiraks käesoleva määruse VII peatüki kohaldamist.

välja jäetud

Muudatusettepanek  150

Ettepanek võtta vastu määrus

Artikkel 52 – lõige 1 – punkt b

Komisjoni ettepanek

Muudatusettepanek

b) vaatab läbi andmesubjekti või teda esindava ühenduse artikli 73 kohaselt esitatud kaebused, uurib juhtumit vajalikul määral ning teavitab mõistliku aja jooksul andmesubjekti või ühendust kaebuse arutamise arengust ja tulemusest, eelkõige juhul, kui osutub vajalikuks täiendav uurimine või koordineerimine teise järelevalveasutusega;

b) vaatab läbi andmesubjekti või ühenduse artikli 73 kohaselt esitatud kaebused, uurib juhtumit vajalikul määral ning teavitab mõistliku aja jooksul andmesubjekti või ühendust kaebuse arutamise arengust ja tulemusest, eelkõige juhul, kui osutub vajalikuks täiendav uurimine või koordineerimine teise järelevalveasutusega;

Muudatusettepanek  151

Ettepanek võtta vastu määrus

Artikkel 52 – lõige 1 – punkt d

Komisjoni ettepanek

Muudatusettepanek

d) korraldab omal algatusel või kaebuse või teise järelevalveasutuse taotluse alusel uurimisi ning kui andmesubjekt on esitanud kaebuse nimetatud järelevalveasutusele, teavitab teda uurimise tulemusest mõistliku aja jooksul;

d) korraldab omal algatusel või kaebuse või konkreetsete ja dokumenteeritud teabe saamisel väidetava ebaseadusliku töötlemise kohta või teise järelevalveasutuse taotluse alusel uurimisi ning kui andmesubjekt on esitanud kaebuse nimetatud järelevalveasutusele, teavitab teda uurimise tulemusest mõistliku aja jooksul;

Muudatusettepanek  152

Ettepanek võtta vastu määrus

Artikkel 52 – lõige 1 – punkt j a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

j a) sertifitseerib artikli 39 kohaselt vastutavaid töötlejaid ja volitatud töötlejaid.

Muudatusettepanek  153

Ettepanek võtta vastu määrus

Artikkel 52 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2. Iga järelevalveasutus suurendab üldsuse teadlikkust isikuandmete töötlemisel esinevatest ohtudest, töötlemise eeskirjadest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Lastele suunatud tegevusele pööratakse eraldi tähelepanu.

2. Iga järelevalveasutus suurendab üldsuse teadlikkust isikuandmete töötlemisel esinevatest ohtudest, töötlemise eeskirjadest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest ning asjakohastest isikuandmete kaitse meetmetest. Lastele suunatud tegevusele pööratakse eraldi tähelepanu.

Muudatusettepanek  154

Ettepanek võtta vastu määrus

Artikkel 52 – lõige 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a. Iga järelevalveasutus suurendab koos Euroopa Andmekaitsenõukoguga vastutavate töötlejate ja volitatud töötlejate teadlikkust isikuandmete töötlemisel esinevatest ohtudest, töötlemise eeskirjadest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. See hõlmab sanktsioonide ja rikkumiste registri pidamist. Registris tuleb kõik hoiatused ja sanktsioonid registreerida võimalikult üksikasjalikult ning esitada andmed rikkumiste lahendamise kohta. Kõik järelevalveasutused esitavad mikro-, väikestest ja keskmise suurusega ettevõtjatest vastutavatele töötlejatele ja volitatud töötlejatele nende taotluse korral üldist teavet nende ülesannete ja kohustuste kohta käesoleva määruse kohaselt.

Muudatusettepanek  155

Ettepanek võtta vastu määrus

Artikkel 52 – lõige 6

Komisjoni ettepanek

Muudatusettepanek

6. Kui taotlused on selgelt põhjendamatud, eelkõige kuna neid esitatakse korduvalt, võib vastutav töötleja võtta taotletud teabe andmise ja toimingute tegemise eest tasu või jätta toimingud tegemata. Järelevalveasutusel lasub kohustus tõendada, et taotlus on selgelt põhjendamatu.

6. Kui taotlused on selgelt põhjendamatud, eelkõige kuna neid esitatakse korduvalt, võib vastutav töötleja võtta taotletud teabe andmise ja toimingute tegemise eest mõistliku tasu või jätta toimingud tegemata. See tasu ei tohi ületada taotletud toimingu läbiviimise kulu. Järelevalveasutusel lasub kohustus tõendada, et taotlus on selgelt põhjendamatu.

Muudatusettepanek  156

Ettepanek võtta vastu määrus

Artikkel 53

Komisjoni ettepanek

Muudatusettepanek

Volitused

Volitused

1. Igal järelevalveasutusel on õigus:

1. Igal järelevalveasutusel on kooskõlas käesoleva määrusega õigus:

a) teavitada vastutavat töötlejat või volitatud töötlejat isikuandmete töötlemist reguleerivate sätete väidetavast rikkumisest ja vajaduse korral käskida vastutaval töötlejal või volitatud töötlejal rikkumine kindlal viisil kõrvaldada, et parandada andmesubjekti kaitset;

a) teavitada vastutavat töötlejat või volitatud töötlejat isikuandmete töötlemist reguleerivate sätete väidetavast rikkumisest ja vajaduse korral käskida vastutaval töötlejal või volitatud töötlejal rikkumine kindlal viisil kõrvaldada, et parandada andmesubjekti kaitset või käskida vastutaval töötlejal teavitada andmesubjekti tema isikuandmetega seotud rikkumisest;

b) anda käsk vastutaval töötlejal või volitatud töötlejal rahuldada andmesubjekti taotlused seoses käesolevas määruses sätestatud õiguste kasutamisega;

b) anda käsk vastutaval töötlejal või volitatud töötlejal rahuldada andmesubjekti taotlused seoses käesolevas määruses sätestatud õiguste kasutamisega;

c) anda käsk vastutavale töötlejale või volitatud töötlejale või vajaduse korral tema esindajale anda teavet oma kohustuste täitmise kohta;

c) anda käsk vastutavale töötlejale või volitatud töötlejale või vajaduse korral tema esindajale anda teavet oma kohustuste täitmise kohta;

d) tagada, et täidetakse artiklis 34 osutatud eelnevate lubade ja konsultatsioonide tingimus;

d) tagada, et täidetakse artiklis 34 osutatud eelnevate lubade ja konsultatsioonide tingimus;

e) hoiatada vastutavat töötlejat või volitatud töötlejat või teha talle märkus;

e) hoiatada vastutavat töötlejat või volitatud töötlejat või teha talle märkus;

f) anda käsk kõik andmed parandada, sulgeda, kustutada või hävitada, kui neid on töödeldud käesoleva määruse sätteid rikkudes, ning teavitada nimetatud meetmetest kolmandaid isikuid, kelle andmed on avaldatud;

f) anda käsk kõik andmed parandada, sulgeda, kustutada või hävitada, kui neid on töödeldud käesoleva määruse sätteid rikkudes, ning teavitada nimetatud meetmetest kolmandaid isikuid, kelle andmed on avaldatud;

g) kehtestada ajutine või tähtajatu töötlemiskeeld;

g) kehtestada ajutine või tähtajatu töötlemiskeeld;

h) peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog;

h) peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog;

i) esitada arvamusi küsimustes, mis on seotud isikuandmete kaitsega;

i) esitada arvamusi küsimustes, mis on seotud isikuandmete kaitsega;

 

i a) sertifitseerida vastutavaid töötlejaid ja volitatud töötlejaid vastavalt artiklile 39;

j) teavitada liikmesriikide parlamente, valitsusi või muid institutsioone ja avalikkust isikuandmete kaitsega seotud küsimustest.

j) teavitada liikmesriikide parlamente, valitsusi või muid institutsioone ja avalikkust isikuandmete kaitsega seotud küsimustest.

 

j a) kehtestada tulemuslik mehhanism konfidentsiaalseks teatamiseks käesoleva määruse rikkumistest, võttes arvesse Euroopa Andmekaitsenõukogu poolt artikli 66 lõike 4b kohaselt väljastatud suunist;

2. Igal järelevalveasutusel on uurimisvolitused, et saada vastutavalt töötlejalt või volitatud töötlejalt juurdepääs:

2. Igal järelevalveasutusel on uurimisvolitused, et saada vastutavalt töötlejalt või volitatud töötlejalt ilma eelneva teavitamiseta:

a) kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema kohustuste täitmiseks;

a) kõikidele isikuandmetele ja dokumentidele ning kogu teabele, mis on vajalik tema kohustuste täitmiseks;

b) tööruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja vahenditele, kui on piisavalt põhjust arvata, et seal toimub käesoleva määruse vastane tegevus.

b) tööruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja vahenditele.

Punktis b osutatud õigusi kasutatakse kooskõlas ELi ja liikmesriigi õigusega.

Punktis b osutatud õigusi kasutatakse kooskõlas ELi ja liikmesriigi õigusega.

3. Igal järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumisele ja osaleda kohtumenetluses, eelkõige vastavalt artikli 74 lõikele 4 ja artikli 75 lõikele 2.

3. Igal järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumisele ja osaleda kohtumenetluses, eelkõige vastavalt artikli 74 lõikele 4 ja artikli 75 lõikele 2.

4. Igal järelevalveasutusel on õigus haldusõigusrikkumise korral kohaldada sanktsioone, eelkõige artikli 79 lõikes 4, 5 ja 6 osutatud rikkumiste puhul.

4. Igal järelevalveasutusel on õigus haldusõigusrikkumise korral kohaldada sanktsioone kooskõlas artikliga 79. Seda õigust kasutatakse tõhusal, proportsionaalsel ja hoiataval viisil.

Muudatusettepanek  157

Ettepanek võtta vastu määrus

Artikkel 54

Komisjoni ettepanek

Muudatusettepanek

Iga järelevalveasutus peab koostama oma tegevuse kohta aastaaruande. Aruanne esitatakse riigi parlamendile ning tehakse kättesaadavaks avalikkusele, komisjonile ja Euroopa Andmekaitsenõukogule.

Iga järelevalveasutus peab koostama oma tegevuse kohta aruande vähemalt iga kahe aasta järel. Aruanne esitatakse vastavale parlamendile ning tehakse kättesaadavaks avalikkusele, komisjonile ja Euroopa Andmekaitsenõukogule.

Muudatusettepanek  158

Ettepanek võtta vastu määrus

Artikkel 54 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 54 a

 

Juhtiv asutus

 

1. Kui isikuandmete töötlemine toimub liidus asuva vastutava töötleja või volitatud töötleja tegevuse käigus ning vastutav töötleja või volitatud töötleja omab tegevuskohta mitmes liikmesriigis, või kui töödeldakse mitme liikmesriigi elanike isikuandmeid, tegutseb vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus käesoleva määruse VII peatüki sätete kohaselt vastutava töötleja või volitatud töötleja töötlemistoimingute järelevalve eest vastutava juhtiva asutusena kõikides liikmesriikides.

 

2. Juhtiv järelevalveasutus võtab asjakohased meetmed tema vastutusalas olevate vastutava töötleja või volitatud töötleja töötlemistoimingute üle järelevalve teostamiseks alles pärast konsulteerimist kõikide muude pädevate järelevalveasutustega artikli 51 lõike 1 tähenduses, et jõuda üksmeelele. Sel põhjusel esitab ta eelkõige kogu asjakohase teabe ja konsulteerib teiste asutustega enne seda, kui ta võtab vastu meetme, mille eesmärk on tekitada õiguslikke tagajärgi vastutavale töötlejale või volitatud töötlejale artikli 51 lõike 1 tähenduses. Juhtiv asutus võtab täiel määral arvesse asjaomaste asutuste arvamusi. Juhtiv asutus ainus asutus, kellel on õigus otsustada võtta meetmeid, mille eesmärk on luua õiguslikke tagajärgi seoses sellise vastutava töötleja või volitatud töötleja töötlemistoimingutega, kelle eest ta on vastutav.

 

3. Euroopa Andmekaitsenõukogu esitab pädeva järelevalveasutuse taotluse korral arvamuse vastutava töötleja või volitatud töötleja eest vastutava juhtiva asutuse kindlakstegemiseks juhul, kui

 

a) juhtumi asjaolude põhjal on vastutava või volitatud töötleja põhitegevuskoht ebaselge; või

 

b) pädevad asutused ei suuda jõuda kokkuleppele, milline järelevalveasutus hakkab täitma juhtiva asutuse rolli; või

 

c) vastutav töötleja asub väljaspool ELi, aga eri liikmesriikide elanikke mõjutavad käesoleva määruse reguleerimisalasse kuuluvad töötlemistoimingud.

 

3 a. Kui vastutav töötleja viib läbi ka toiminguid volitatud töötlejana, on vastutava töötleja peamise tegevuskoha järelevalveasutus töötlemistoimingute järelevalve juhtiv asutus.

 

4. Euroopa Andmekaitsenõukogu võib teha otsuse juhtiva asutuse kindlaksmääramiseks.

(Parlamendi muudatusettepaneku lõige 1 põhineb komisjoni ettepaneku artikli 51 lõikel 2).

Muudatusettepanek  159

Ettepanek võtta vastu määrus

Artikkel 55 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Järelevalveasutused annavad üksteisele teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks eelneva loa ja eelneva konsulteerimise taotlusi, kontrolle ja kiireteabe edastamist juhtumite alustamise ning nende käigu kohta, kui töötlemistoimingud mõjutavad tõenäoliselt andmesubjekte mitmes liikmesriigis.

1. Järelevalveasutused annavad üksteisele teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks eelneva loa ja eelneva konsulteerimise taotlusi, kontrolle ja uurimisi ning kiirteabe edastamist juhtumite alustamise ning nende käigu kohta, kui vastutaval töötlejal või volitatud töötlejal on tegevuskoht mitmes liikmesriigis või kui töötlemistoimingud mõjutavad tõenäoliselt andmesubjekte mitmes liikmesriigis. Artiklis 54 a määratletud juhtiv asutus tagab kooskõlastatuse asjakohaste järelevalveasutustega ja tegutseb vastutava töötleja või volitatud töötleja ühtse kontaktpunktina.

Muudatusettepanek  160

Ettepanek võtta vastu määrus

Artikkel 55 – lõige 7

Komisjoni ettepanek

Muudatusettepanek

7. Vastastikuse abi taotluse alusel võetud meetmete eest tasu ei nõuta.

7. Taotluse esitanud järelevalveasutuselt vastastikuse abi taotluse alusel võetud meetmete eest tasu ei nõuta.

Muudatusettepanek  161

Ettepanek võtta vastu määrus

Artikkel 55 – lõige 8

Komisjoni ettepanek

Muudatusettepanek

8. Kui järelevalveasutus ei tegutse ühe kuu jooksul pärast teiselt järelevalveasutuselt taotluse saamist, on taotluse esitanud järelevalveasutusel õigus võtta oma liikmesriigi territooriumil ajutine meede kooskõlas artikli 51 lõikega 1 ning esitada asi Euroopa Andmekaitsenõukogule artiklis 57 osutatud korras.

8. Kui järelevalveasutus ei tegutse ühe kuu jooksul pärast teiselt järelevalveasutuselt taotluse saamist, on taotluse esitanud järelevalveasutusel õigus võtta oma liikmesriigi territooriumil ajutine meede kooskõlas artikli 51 lõikega 1 ning esitada asi Euroopa Andmekaitsenõukogule artiklis 57 osutatud korras. Taotluse esitanud järelevalveasutus võib võtta artikli 53 kohaseid ajutisi meetmeid oma liikmesriigi territooriumil, kui veel lõpetamata abistamise alusel ei saa võtta lõplikke meetmeid.

Muudatusettepanek  162

Ettepanek võtta vastu määrus

Artikkel 55 – lõige 9

Komisjoni ettepanek

Muudatusettepanek

9. Järelevalveasutus määrab kindlaks sellise ajutise meetme kehtivusaja. Nimetatud ajavahemik ei tohi olla pikem kui kolm kuud. Järelevalveasutus edastab viivitamata kõnealused meetmed koos kõikide põhjendustega Euroopa Andmekaitsenõukogule ja komisjonile.

9. Järelevalveasutus määrab kindlaks sellise ajutise meetme kehtivusaja. Nimetatud ajavahemik ei tohi olla pikem kui kolm kuud. Järelevalveasutus edastab viivitamata kõnealused meetmed koos kõikide põhjendustega Euroopa Andmekaitsenõukogule ja komisjonile kooskõlas artiklis 57 osutatud menetlusega.

Muudatusettepanek  163

Ettepanek võtta vastu määrus

Artikkel 55 – lõige 10

Komisjoni ettepanek

Muudatusettepanek

10. Komisjon võib täpsemalt kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra, eelkõige lõikes 6 osutatud tüüpvormi. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

10. Euroopa Andmekaitsenõukogu võib täpsemalt kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra, eelkõige lõikes 6 osutatud tüüpvormi.

Muudatusettepanek  164

Ettepanek võtta vastu määrus

Artikkel 56 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2. Juhul kui töötlemistoimingud võivad tõenäoliselt mõjutada andmesubjekte mitmes liikmesriigis, on iga kõnealuse liikmesriigi järelevalveasutusel õigus osaleda vastavalt vajadusele ühisülesannetes või -operatsioonides. Pädev järelevalveasutus esitab iga kõnealuse liikmesriigi järelevalveasutusele kutse osaleda asjaomases ühisülesandes või -operatsioonis ja vastab viivitamata järelevalveasutuse taotlusele operatsioonides osaleda.

2. Juhul kui vastutaval töötlejal või volitatud töötlejal on tegevuskoht mitmes liikmesriigis või töötlemistoimingud võivad tõenäoliselt mõjutada andmesubjekte mitmes liikmesriigis, on iga kõnealuse liikmesriigi järelevalveasutusel õigus osaleda vastavalt vajadusele ühisülesannetes või -operatsioonides. Artiklis 54 a määratletud juhtiv asutus kaasab iga kõnealuse liikmesriigi järelevalveasutuse asjaomases ühisülesandesse või -operatsiooni ja vastab viivitamata järelevalveasutuse taotlusele operatsioonides osaleda. Juhtiv asutus tegutseb vastutava töötleja või volitatud töötleja ühtse kontaktpunktina.

Muudatusettepanek  165

Ettepanek võtta vastu määrus

Artikkel 57

Komisjoni ettepanek

Muudatusettepanek

Järjepidevuse mehhanism

Järjepidevuse mehhanism

Artikli 46 lõikes 1 sätestatud eesmärgil teevad järelevalveasutused üksteisega ja komisjoniga koostööd käesolevas jaotises sätestatud järjepidevuse mehhanismi abil.

Artikli 46 lõikes 1 sätestatud eesmärgil teevad järelevalveasutused üksteisega ja komisjoniga koostööd käesolevas jaotises sätestatud järjepidevuse mehhanismi abil nii üldise ulatusega küsimustes kui ka üksikjuhtudel kooskõlas käesoleva jaotise sätetega.

Muudatusettepanek  166

Ettepanek võtta vastu määrus

Artikkel 58

Komisjoni ettepanek

Muudatusettepanek

Euroopa Andmekaitsenõukogu arvamus

Üldkohaldavate küsimuste järjepidevus

1. Enne kui järelevalveasutus võtab vastu lõikes 2 osutatud meetme, edastab ta meetme eelnõu Euroopa Andmekaitsenõukogule ja komisjonile.

1. Enne kui järelevalveasutus võtab vastu lõikes 2 osutatud meetme, edastab ta meetme eelnõu Euroopa Andmekaitsenõukogule ja komisjonile.

2. Lõikes 1 sätestatud kohustust kohaldatakse meetme suhtes, mille eesmärk on tekitada õiguslikke tagajärgi ning mis:

2. Lõikes 1 sätestatud kohustust kohaldatakse meetme suhtes, mille eesmärk on tekitada õiguslikke tagajärgi ning mis:

a) on seotud töötlemistoimingutega, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele mitmes liikmesriigis või nende käitumise jälgimisega, või

 

b) võib oluliselt mõjutada isikuandmete vaba liikumist Euroopa Liidus või

 

c) on suunatud sellise töötlemistoimingute loetelu vastuvõtmisele, mille puhul kohaldatakse eelnevat konsulteerimist vastavalt artikli 34 lõikele 5, või

 

d) on suunatud artikli 42 lõike 2 punktis c osutatud isikuandmete kaitse standardklauslite kindlaksmääramisele või

 

d) on suunatud artikli 42 lõike 2 punktis c osutatud isikuandmete kaitse standardklauslite kindlaksmääramisele või

 

e) on suunatud artikli 42 lõike 2 punktis d osutatud lepingutingimuste kinnitamisele või

e) on suunatud artikli 42 lõike 2 punktis d osutatud lepingutingimuste kinnitamisele või

f) on suunatud siduvate ettevõtluseeskirjade heakskiitmisele artikli 43 tähenduses.

f) on suunatud siduvate ettevõtluseeskirjade heakskiitmisele artikli 43 tähenduses.

3. Mis tahes järelevalveasutus või Euroopa Andmekaitsenõukogu võib nõuda iga küsimuse käsitlemist järjepidevuse mehhanismi abil, eelkõige juhul, kui järelevalveasutus ei esita lõikes 2 osutatud meetme eelnõu või ei täida vastastikuse abi kohustust vastavalt artiklile 55 või ühisoperatsioonide kohustust vastavalt artiklile 56.

3. Mis tahes järelevalveasutus või Euroopa Andmekaitsenõukogu võib nõuda iga üldkohaldatava küsimuse käsitlemist järjepidevuse mehhanismi abil, eelkõige juhul, kui järelevalveasutus ei esita lõikes 2 osutatud meetme eelnõu või ei täida vastastikuse abi kohustust vastavalt artiklile 55 või ühisoperatsioonide kohustust vastavalt artiklile 56.

4. Määruse nõuetekohase ja järjepideva kohaldamise tagamiseks võib komisjon nõuda mis tahes küsimuse käsitlemist järjepidevuse mehhanismi abil.

4. Määruse nõuetekohase ja järjepideva kohaldamise tagamiseks võib komisjon nõuda mis tahes üldkohaldatava küsimuse käsitlemist järjepidevuse mehhanismi abil

5. Järelevalveasutused ja komisjon edastavad elektrooniliselt tüüpvormi abil kogu asjakohase teabe, sealhulgas asjaolude kokkuvõtte, meetme eelnõu ja nimetatud meetme võtmise põhjused.

5. Järelevalveasutused ja komisjon edastavad põhjendamatu viivituseta elektrooniliselt tüüpvormi abil kogu asjakohase teabe, sealhulgas asjaolude kokkuvõtte, meetme eelnõu ja nimetatud meetme võtmise põhjused.

6. Euroopa Andmekaitsenõukogu eesistuja teavitab viivitamata elektrooniliselt Euroopa Andmekaitsenõukogu liikmeid ja komisjoni talle edastatud asjakohasest teabest, kasutades selleks tüüpvormi. Euroopa Andmekaitsenõukogu eesistuja korraldab vajaduse korral asjaomase teabe tõlkimise.

6. Euroopa Andmekaitsenõukogu eesistuja teavitab põhjendamatu viivituseta elektrooniliselt Euroopa Andmekaitsenõukogu liikmeid ja komisjoni talle edastatud asjakohasest teabest, kasutades selleks tüüpvormi. Euroopa Andmekaitsenõukogu sekretariaat korraldab vajaduse korral asjaomase teabe tõlkimise.

 

6 a. Euroopa Andmekaitsenõukogu võtab vastu arvamuse lõikes 2 osutatud küsimuste kohta.

7. Euroopa Andmekaitsenõukogu esitab küsimuse kohta oma arvamuse ühe nädala jooksul pärast lõike 5 kohase teabe saamist, kui komitee teeb sellekohase otsuse liikmete lihthäälteenamuse alusel või kui mis tahes järelevalveasutus või komisjon esitab selleks taotluse. Arvamus võetakse vastu ühe kuu jooksul Euroopa Andmekaitsenõukogu liikmete lihthäälteenamuse alusel. Euroopa Andmekaitsenõukogu eesistuja teavitab arvamusest viivitamata lõigetes 1 ja 3 osutatud järelevalveasutust, komisjoni ja artikli 51 alusel pädevat järelevalveasutust ning avalikustab arvamuse.

7. Euroopa Andmekaitsenõukogu võib otsustada lihthäälteenamusega otsuse vastuvõtmise lõigete 3 ja 4 kohaselt esitatud küsimuste kohta, võttes arvesse järgmist:

 

a) kas küsimus puudutab uusi elemente, mille puhul tuleks arvesse võtta õiguslikke või tegelikke arenguid, eelkõige infotehnoloogiat, ning pidada silmas infoühiskonna arengu hetkeseisu, ning

 

b) kas Euroopa Andmekaitsenõukogu on koostanud juba arvamuse sama küsimuse kohta.

8. Lõikes 1 osutatud järelevalveasutus ja artikli 51 alusel pädev järelevalveasutus arvestavad Euroopa Andmekaitsenõukogu arvamusega ja kahe nädala jooksul pärast Euroopa Andmekaitsenõukogu eesistujalt arvamuse kohta saadud teavet annavad elektrooniliselt tüüpvormi kasutades Euroopa Andmekaitsenõukogu eesistujale ja komisjonile teada, kas jäädakse meetme eelnõu juurde või seda muudetakse ning edastavad vajaduse korral meetme muudetud eelnõu.

8. Euroopa Andmekaitsenõukogu võtab lõigete 6 a ja 7 kohased arvamused vastu oma liikmete lihthäälteenamuse alusel. Need arvamused avalikustatakse.

Muudatusettepanek 167

Ettepanek vastu võtta määrus

Artikkel 58 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 58 a

 

Järjepidevus üksikjuhtudel

 

1. Enne sellise meetme vastuvõtmist, mille eesmärk on tekitada õiguslikke tagajärgi artikli 54 a tähenduses, jagab juhtiv asutus teiste pädevate asutustega kogu asjakohast teavet ja esitab neile meetme eelnõu. Juhtiv asutus ei võta meedet vastu, kui pädev asutus on kolme nädala jooksul esitanud meetme võtmise suhtes tugeva vastuväite.

 

2. Kui pädev asutus on esitanud juhtiva asutuse meetme eelnõu suhtes tugeva vastuväite või kui juhtiv asutus ei esita lõikes 1 osutatud meetme eelnõu või ei järgi vastastikuse abi kohustust vastavalt artiklile 55 või ühisoperatsioonide kohustust vastavalt artiklile 56, käsitleb küsimust Euroopa Andmekaitsenõukogu.

 

3. Juhtiv asutus ja/või muu kaasatud pädev asutus ja komisjon edastavad põhjendamatu viivituseta Euroopa Andmekaitsenõukogule elektrooniliselt tüüpvormi abil kogu asjakohase teabe, sealhulgas juhtumiga seotud asjaolude kokkuvõtte, meetme eelnõu ja nimetatud meetme võtmise põhjused, meetme võtmise suhtes esitatud vastuväited ning muude asjaomaste järelevalveasutuste seisukohad.

 

4. Euroopa Andmekaitsenõukogu kaalub küsimust, võttes arvesse juhtiva asutuse meetme eelnõu mõju andmesubjekti põhiõigustele ja -vabadustele ning teeb otsuse arvamuse koostamise kohta oma liikmete lihthäälteenamuse alusel kahe nädala jooksul pärast lõike 3 kohase asjakohase teabe esitamist.

 

 

5. Juhul kui Euroopa Andmekaitsenõukogu otsustab arvamuse koostada, teeb ta seda kuue nädala jooksul ning avalikustab arvamuse.

 

6. Juhtiv asutus võtab täiel määral arvesse Euroopa Andmekaitsenõukogu arvamust ja kahe nädala jooksul pärast Euroopa Andmekaitsenõukogu eesistujalt arvamuse kohta teabe saamist annab elektrooniliselt tüüpvormi kasutades Euroopa Andmekaitsenõukogu eesistujale ja komisjonile teada, kas ta jääb meetme eelnõu juurde või muudab seda ning edastab vajaduse korral meetme muudetud eelnõu. Kui juhtiv asutus ei kavatse järgida Euroopa Andmekaitsenõukogu arvamust, esitab ta selle kohta põhjenduse.

 

7. Kui Euroopa Andmekaitsenõukogu esitab endiselt lõike 5 kohaselt järelevalveasutuse meetme suhtes vastuväite, võib ta ühe kuu jooksul võtta kahe kolmandikulise häälteenamusega vastu järelevalveasutusele siduva meetme.

Muudatusettepanek  168

Ettepanek võtta vastu määrus

Artikkel 59

Komisjoni ettepanek

Muudatusettepanek

Artikkel 59

välja jäetud

Komisjoni arvamus

 

1. Kümne nädala jooksul pärast küsimuse tõstatamist vastavalt artiklile 58 või vähemalt kuue nädala jooksul artiklis 61 sätestatud juhul võib komisjon määruse nõuetekohaseks ja järjepidevaks kohaldamiseks võtta vastu arvamuse artiklite 58 või 61 kohaselt tõstatatud küsimuste kohta.

 

2. Kui komisjon on võtnud vastu lõike 1 kohase arvamuse, arvestab asjaomane järelevalveasutus igati komisjoni arvamusega ning teavitab komisjoni ja Euroopa Andmekaitsenõukogu sellest, kas jäädakse meetme eelnõu juurde või soovitakse seda muuta.

 

3. Lõikes 1osutatud ajavahemiku jooksul ei võta järelevalveasutus meetme eelnõud vastu.

 

4. Kui asjaomane järelevalveasutus ei kavatse järgida komisjoni arvamust, teavitab ta sellest komisjoni ja Euroopa Andmekaitsenõukogu lõikes 1 osutatud ajavahemiku jooksul ning esitab põhjenduse. Sellisel juhul ei võeta meetme eelnõu vastu veel ühe kuu jooksul.

 

Muudatusettepanek  169

Ettepanek võtta vastu määrus

Artikkel 60

Komisjoni ettepanek

Muudatusettepanek

Artikkel 60

välja jäetud

Meetme eelnõu peatamine

 

1. Ühe kuu jooksul pärast artikli 59 lõikes 4 osutatud teatise esitamist ja juhul kui komisjonil on tõsiseid kahtlusi selles osas, kas meetme eelnõuga tagatakse käesoleva määruse nõuetekohane kohaldamine või oleks määruse kohaldamine ebaühtlane, võib komisjon võtta vastu põhjendatud otsuse, milles nõutakse järelevalveasutuselt meetme eelnõu vastuvõtmise peatamist, võttes arvesse Euroopa Andmekaitsenõukogu arvamust, mis on koostatud artikli 58 lõike 7 või artikli 61 lõike 2 kohaselt, kui seda on vaja:

 

a) järelevalveasutuse ja Euroopa Andmekaitsenõukogu lahkarvamuste ühitamiseks, kui see on veel võimalik, või

 

b) artikli 62 lõike 1 punkti a kohase meetme vastuvõtmiseks.

 

2. Komisjon määrab kindlaks peatamise kestuse, mis ei ületa 12 kuud.

 

3. Lõikes 2 osutatud ajavahemikul ei või järelevalveasutus meetme eelnõud vastu võtta.

 

Muudatusettepanek  170

Ettepanek võtta vastu määrus

Artikkel 60 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 60 a

 

Euroopa Parlamendi ja nõukogu teavitamine

 

Komisjon teavitab nõukogu ja parlamenti korrapäraselt, vähemalt korra poole aasta jooksul Euroopa Andmekaitsenõukogu eesistuja aruande alusel järjepidevuse mehhanismi raames käsitletud küsimustest ja toob sealjuures välja komisjoni ja Euroopa Andmekaitsenõukogu järeldused käesoleva määruse ühtse rakendamise ja kohaldamise tagamiseks.

Muudatusettepanek  171

Ettepanek võtta vastu määrus

Artikkel 61 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Erandlike asjaolude korral, kui järelevalveasutus leiab, et andmesubjektide huvide kaitsmiseks tuleb kiiresti tegutseda, eelkõige siis, kui on oht, et andmesubjekti õiguse kohtulikku kaitsmist võib praeguse seisundi muutmine märkimisväärselt takistada, või kui on vaja ära hoida olulisi puudusi või muudel põhjustel, võib ta erandina artiklis 58 sätestatud korrast võtta viivitamata vastu piiratud kehtivusajaga ajutised meetmed. Järelevalveasutus edastab viivitamata kõnealused meetmed koos kõikide põhjendustega Euroopa Andmekaitsenõukogule ja komisjonile.

1. Erandlike asjaolude korral, kui järelevalveasutus leiab, et andmesubjektide huvide kaitsmiseks tuleb kiiresti tegutseda, eelkõige siis, kui on oht, et andmesubjekti õiguse kohtulikku kaitsmist võib praeguse seisundi muutmine märkimisväärselt takistada, või kui on vaja ära hoida olulisi puudusi või muudel põhjustel, võib ta erandina artiklis 58 a sätestatud korrast võtta viivitamata vastu piiratud kehtivusajaga ajutised meetmed. Järelevalveasutus edastab viivitamata kõnealused meetmed koos kõikide põhjendustega Euroopa Andmekaitsenõukogule ja komisjonile.

Muudatusettepanek  172

Ettepanek võtta vastu määrus

Artikkel 61 – lõige 4

Komisjoni ettepanek

Muudatusettepanek

4. Erandina artikli 58 lõikest 7 võetakse käesoleva artikli lõigetes 2 ja 3 osutatud kiireloomuline arvamus vastu kahe nädala jooksul Euroopa Andmekaitsenõukogu liikmete lihthäälteenamuse alusel.

4. Lõigetes 2 ja 3 osutatud kiireloomuline arvamus vastu kahe nädala jooksul Euroopa Andmekaitsenõukogu liikmete lihthäälteenamuse alusel.

Muudatusettepanek  173

Ettepanek võtta vastu määrus

Artikkel 62

Komisjoni ettepanek

Muudatusettepanek

Rakendusaktid

Rakendusaktid

1. Komisjon võib vastu võtta rakendusaktid, et teha järgmist:

1. Pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist võib komisjon vastu võtta üldkohaldatavad rakendusaktid, et teha järgmist:

a) seoses talle järelevalveasutustelt vastavalt artiklile 58 või 61 edastatud küsimustega teha otsus käesoleva määruse eesmärkidele ja tingimustele vastava nõuetekohase rakendamise kohta, milles käsitletakse küsimust, mille suhtes on vastu võetud põhjendatud otsus vastavalt artikli 60 lõikele 1, või milles käsitletakse küsimust, mille suhtes järelevalveasutus ei võta vastu meetme eelnõud ja mille kohta on järelevalveasutus teatanud, et ta ei kavatse järgida komisjoni arvamust, mis on vastu võetud artikli 59 kohaselt;

 

b) teha artikli 59 lõikes 1 osutatud ajavahemiku jooksul otsus, milles teatatakse, kas artikli 58 lõike 2 punktis d osutatud isikuandmete kaitse standardklauslid on üldkehtivad;

b) teha artikli 59 lõikes 1 osutatud ajavahemiku jooksul otsus, milles teatatakse, kas artikli 42 lõike 2 punktis d osutatud isikuandmete kaitse standardklauslid on üldkehtivad;

c) täpsustada käesolevas jaos osutatud järjepidevuse mehhanismi kohaldamise vormi ja korda;

 

d) täpsustada järelevalveasutuste vahelist ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu vahelist elektroonilise teabevahetuse korraldust, eelkõige artikli 58 lõigetes 5, 6 ja 8 osutatud tüüpvormi.

d) täpsustada järelevalveasutuste vahelist ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu vahelist elektroonilise teabevahetuse korraldust, eelkõige artikli 58 lõigetes 5, 6 ja 8 osutatud tüüpvormi.

Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

 

2. Andmesubjektide huvides nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu, mis on seotud lõikes 1 osutatud juhtudega, võtab komisjon vastu viivitamata kohaldatavad rakendusaktid vastavalt artikli 87 lõikes 3 osutatud menetlusele. Nimetatud aktid kehtivad kuni 12 kuud.

 

3. Käesoleva jao kohase meetme puudumine või vastuvõtmine ei piira komisjoni teisi meetmeid, mis on vastu võetud aluslepingute alusel.

3. Käesoleva jao kohase meetme puudumine või vastuvõtmine ei piira komisjoni teisi meetmeid, mis on vastu võetud aluslepingute alusel.

Muudatusettepanek  174

Ettepanek võtta vastu määrus

Artikkel 63 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2. Kui järelevalveasutus ei esita meetme eelnõud menetlemiseks järjepidevuse mehhanismi raames, rikkudes sel moel artikli 58 lõikeid 1–5, ei ole järelevalveasutuse meede õiguslikult kehtiv ega kuulu täitmisele.

2. Kui järelevalveasutus ei esita meetme eelnõud menetlemiseks järjepidevuse mehhanismi raames, rikkudes sel moel artikli 58 lõiget 1 ja 2, või võtab vastu meetme vaatamata sellele, et selle suhtes on artikli 58 lõike 1 kohaselt esitatud tugev vastuväide, ei ole järelevalveasutuse meede õiguslikult kehtiv ega kuulu täitmisele.

Muudatusettepanek  175

Ettepanek võtta vastu määrus

Artikkel 66

Komisjoni ettepanek

Muudatusettepanek

Euroopa Andmekaitsenõukogu ülesanded

Euroopa Andmekaitsenõukogu ülesanded

1. Euroopa Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb Euroopa Andmekaitsenõukogu omal algatusel või komisjoni taotluse korral eelkõige järgmist:

1. Euroopa Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb Euroopa Andmekaitsenõukogu omal algatusel või Euroopa Parlamendi, nõukogu ja komisjoni taotluse korral eelkõige järgmist:

 

a) nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes Euroopa Liidus, sealhulgas käesoleva määruse kavandatavad muudatused;

a) nõustab Euroopa institutsioone kõikides isikuandmete kaitsega seotud küsimustes Euroopa Liidus, sealhulgas käesoleva määruse kavandatavad muudatused;

b) analüüsib omal algatusel või ühe oma liikme või komisjoni taotluse korral käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise tagamiseks välja järelevalveasutustele mõeldud juhiseid, soovitusi ja parimaid tavasid;

b) analüüsib omal algatusel või ühe oma liikme või Euroopa Parlamendi, nõukogu või komisjoni taotluse korral käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse, sealhulgas jõustamisvolituste kasutamise järjepideva kohaldamise tagamiseks välja järelevalveasutustele mõeldud juhiseid, soovitusi ja parimaid tavasid;

c) jälgib punktis b osutatud juhiste, soovituste ja parimate tavade praktilist kohaldamist ning annab sellest komisjonile korrapäraselt aru;

c) jälgib punktis b osutatud juhiste, soovituste ja parimate tavade praktilist kohaldamist ning annab sellest komisjonile korrapäraselt aru;

d) esitab arvamusi järelevalveasutuste otsuste eelnõude kohta vastavalt artiklis 57 osutatud järjepidevuse mehhanismile;

d) esitab arvamusi järelevalveasutuste otsuste eelnõude kohta vastavalt artiklis 57 osutatud järjepidevuse mehhanismile;

 

d a) esitab arvamuse, milline ametiasutus peaks olema artikli 54 a lõike 3 kohane juhtiv asutus;

e) edendab järelevalveasutuste vahelist koostööd ning teabe ja parimate tavade vahetamist;

e) edendab järelevalveasutuste vahelist koostööd ning teabe ja parimate tavade vahetamist, sealhulgas ühisoperatsioonide ja muu ühistegevuse kooskõlastamist, kui ta otsustab seda nii ühe või mitme järelevalveasutuse taotluse korral;

f) edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste ning vajaduse korral kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutuste vahel;

f) edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste ning vajaduse korral kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutuste vahel;

g) edendab teadmiste, isikuandmete kaitse õigusakte ja tavasid käsitlevate dokumentide vahetamist järelevalvet tegevate asutuste vahel kogu maailmas.

g) edendab teadmiste, isikuandmete kaitse õigusakte ja tavasid käsitlevate dokumentide vahetamist järelevalvet tegevate asutuste vahel kogu maailmas.

 

g a) esitab komisjonile oma arvamuse käesoleval määrusel põhinevate delegeeritud õigusaktide ja rakendusaktide ettevalmistamise käigus.

 

g b) esitab oma arvamuse artikli 38 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta;

 

g c) esitab oma arvamuse artikli 39 lõike 3 kohase isikuandmete kaitse sertifitseerimisemehhanismi kriteeriumite ja nõuete kohta;

 

g d) peab artikli 39 lõike 1 h kohast elektroonilist registrit kehtivate ja kehtetute sertifikaatide kohta;

 

g e) pakkuda riiklikele järelevalveasutustele nende taotluse korral abi;

 

g f) koostab ja avalikustab loetelu töötlemistoimingutest, mille suhtes kohaldatakse lõikes 34 sätestatud eelnevat konsulteerimist;

 

g g) pidada registrit karistuste kohta, mille on vastutavatele töötlejatele või volitatud töötlejatele kehtestanud pädevad järelevalveasutused;

2. Kui komisjon palub Euroopa Andmekaitsenõukogult nõu, võib ta määrata nõuande esitamiseks tähtaja, võttes arvesse küsimuse kiireloomulisust.

2. Kui Euroopa Parlament, nõukogu või komisjon palub Euroopa Andmekaitsenõukogult nõu, võib ta määrata nõuande esitamiseks tähtaja, võttes arvesse küsimuse kiireloomulisust.

3. Euroopa Andmekaitsenõukogu edastab oma arvamused, juhised, soovitused ja parimad tavad komisjonile ja artiklis 87 osutatud komiteele ning avalikustab need.

3. Euroopa Andmekaitsenõukogu edastab oma arvamused, juhised, soovitused ja parimad tavad Euroopa Parlamendile, nõukogule ja komisjonile ning artiklis 87 osutatud komiteele ning avalikustab need.

4. Komisjon teavitab Euroopa Andmekaitsenõukogu meetmetest, mis ta on võtnud järgides Euroopa Andmekaitsenõukogu välja antud arvamusi, juhiseid, soovitusi ja parimaid tavasid.

4. Komisjon teavitab Euroopa Andmekaitsenõukogu meetmetest, mis ta on võtnud järgides Euroopa Andmekaitsenõukogu välja antud arvamusi, juhiseid, soovitusi ja parimaid tavasid.

 

4 a. Euroopa Andmekaitsenõukogu konsulteerib vajaduse korral huvitatud osalistega ja annab neile võimaluse mõistliku aja jooksul kommenteerida. Euroopa Andmekaitsenõukogu teeb artikli 72 kohaldamist piiramata konsulteerimismenetluse tulemused üldsusele kättesaadavaks.

 

4 b. Euroopa Andmekaitsenõukogule usaldatakse lõike 1 punkti b kohaste suuniste, soovituste ja parimate tavade avaldamine, et kehtestada ühised menetlused keelatud andmetöötlustoimingute kohta laekuva teabe vastuvõtmise ja uurimise ning saadud teabe konfidentsiaalsuse ja allikate kaitsmise kohta.

Muudatusettepanek  176

Ettepanek võtta vastu määrus

Artikkel 67 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Euroopa Andmekaitsenõukogu teavitab korrapäraselt ja õigeaegselt komisjoni oma tegevuse tulemustest. Komitee koostab aastaaruande, kus käsitletakse füüsiliste isikute kaitse olukorda seoses isikuandmete töötlemisega liidus ja kolmandates riikides.

Aruandes esitatakse artikli 66 lõike 1 punktis c osutatud juhiste, soovituste ja parimate tavade tegeliku kohaldamise kohta ülevaade.

1. Euroopa Andmekaitsenõukogu teavitab korrapäraselt ja õigeaegselt Euroopa Parlamenti, nõukogu ja komisjoni oma tegevuse tulemustest. Andmekaitsenõukogu koostab vähemalt iga kahe aasta järel aruande, kus käsitletakse füüsiliste isikute kaitse olukorda seoses isikuandmete töötlemisega liidus ja kolmandates riikides.

Aruandes esitatakse artikli 66 lõike 1 punktis c osutatud juhiste, soovituste ja parimate tavade tegeliku kohaldamise kohta ülevaade.

Muudatusettepanek  177

Ettepanek võtta vastu määrus

Artikkel 68 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Euroopa Andmekaitsenõukogu teeb otsused liikmete lihthäälteenamuse alusel.

1. Euroopa Andmekaitsenõukogu teeb otsused liikmete lihthäälteenamuse alusel, kui töökorras ei ole sätestatud teisiti.

Muudatusettepanek  178

Ettepanek võtta vastu määrus

Artikkel 69 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Euroopa Andmekaitsenõukogu valib oma liikmete seast eesistuja ja kaks eesistuja asetäitjat. Üheks eesistuja asetäitjaks on Euroopa andmekaitseinspektor, kui ta ei ole valitud eesistujaks.

1. Euroopa Andmekaitsenõukogu valib oma liikmete seast eesistuja ja vähemalt kaks eesistuja asetäitjat.

Muudatusettepanek  179

Ettepanek võtta vastu määrus

Artikkel 69 – lõige 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a. Eesistuja töökoht on täisajaga töökoht.

Muudatusettepanek  180

Ettepanek võtta vastu määrus

Artikkel 71 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2. Vastavalt eesistuja juhistele pakub sekretariaat Euroopa Andmekaitsenõukogule analüütilist, halduslikku ja logistilist tuge.

2. Vastavalt eesistuja juhistele pakub sekretariaat Euroopa Andmekaitsenõukogule analüütilist, õiguslikku, halduslikku ja logistilist tuge.

Muudatusettepanek  181

Ettepanek võtta vastu määrus

Artikkel 72 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Euroopa Andmekaitsenõukogu arutelud on konfidentsiaalsed.

1. Euroopa Andmekaitsenõukogu arutelud võivad olla vajaduse korral konfidentsiaalsed, välja arvatud juhul, kui töökorras on ette nähtud teisiti. Euroopa Andmekaitsenõukogu koosolekute päevakorrad avalikustatakse.

Muudatusettepanek  182

Ettepanek võtta vastu määrus

Artikkel 73

Komisjoni ettepanek

Muudatusettepanek

Õigus esitada järelevalveasutusele kaebus

Õigus esitada järelevalveasutusele kaebus

1. Ilma et see piiraks teiste halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis, kui nad leiavad, et nendega seotud isikuandmete töötlemine ei ole kooskõlas käesoleva määrusega.

1. Ilma et see piiraks teiste halduslike või õiguslike kaitsevahendite ja järjepidevuse mehhanismi kohaldamist, on igal andmesubjektil õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis, kui nad leiavad, et nendega seotud isikuandmete töötlemine ei ole kooskõlas käesoleva määrusega.

2. Igal asutusel, organisatsioonil või ühendusel, mille eesmärk on kaitsta andmesubjektide õigusi ja huve seoses nende isikuandmete kaitsmisega ning mis on moodustatud vastavalt liikmesriigi õigusaktidele, on õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis ühe või mitme andmesubjekti nimel, kui ta leiab, et käesoleva määruse kohaseid andmesubjekti õigusi on rikutud isikuandmete töötlemise tulemusel.

2. Igal avalikes huvides tegutseval asutusel, organisatsioonil või ühendusel, mis on moodustatud vastavalt liikmesriigi õigusaktidele, on õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis ühe või mitme andmesubjekti nimel, kui ta leiab, et käesoleva määruse kohaseid andmesubjekti õigusi on rikutud isikuandmete töötlemise tulemusel.

3. Sõltumata andmesubjekti kaebusest, on igal lõikes 2 osutatud asutusel, organisatsioonil või ühendusel õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis, kui ta leiab, et toime on pandud isikuandmetega seotud rikkumine.

3. Sõltumata andmesubjekti kaebusest, on igal lõikes 2 osutatud asutusel, organisatsioonil või ühendusel õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis, kui ta leiab, et toime on pandud käesoleva määruse rikkumine.

Muudatusettepanek  183

Ettepanek võtta vastu määrus

Artikkel 74

Komisjoni ettepanek

Muudatusettepanek

Õigus kasutada õiguskaitsevahendit järelevalveasutuse vastu

Õigus kasutada õiguskaitsevahendit järelevalveasutuse vastu

1. Igal füüsilisel või juriidilisel isikul on õigus kasutada õiguskaitsevahendit järelevalveasutuse poolt nende kohta tehtud otsuse vastu.

1. Ilma et see piiraks teiste halduslike või mitteõiguslike kaitsevahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada õiguskaitsevahendit järelevalveasutuse poolt nende kohta tehtud otsuse vastu.

2. Igal andmesubjektil on õigus kasutada õiguskaitsevahendit, millega kohustatakse järelevalveasutust kaebuse alusel tegutsema andmesubjektide õiguste kaitsmiseks vajaliku otsuse puudumise korral või kui järelevalveasutus ei teavita andmesubjekti kolme kuu jooksul vastavalt artikli 52 lõike 1 punktile b esitatud kaebuse menetlemise käigust või tulemusest.

2. Ilma et see piiraks teiste halduslike või mitteõiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus kasutada õiguskaitsevahendit, millega kohustatakse järelevalveasutust kaebuse alusel tegutsema andmesubjektide õiguste kaitsmiseks vajaliku otsuse puudumise korral või kui järelevalveasutus ei teavita andmesubjekti kolme kuu jooksul vastavalt artikli 52 lõike 1 punktile b esitatud kaebuse menetlemise käigust või tulemusest.

3. Järelevalveasutuse vastu algatatakse menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub.

3. Järelevalveasutuse vastu algatatakse menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub.

4. Andmesubjekt, kelle kohta on otsuse teinud järelevalveasutus liikmesriigis, mis ei ole andmesubjekti alaline elukoht, võib oma alalise elukoha liikmesriigi järelevalveasutusele esitada taotluse alustada tema nimel menetlust teise liikmesriigi pädeva järelevalveasutuse vastu.

4. Ilma et see piiraks järjepidevuse mehhanismi kohaldamist, võib andmesubjekt, kelle kohta on otsuse teinud järelevalveasutus liikmesriigis, mis ei ole andmesubjekti alaline elukoht, esitada oma alalise elukoha liikmesriigi järelevalveasutusele taotluse alustada tema nimel menetlust teise liikmesriigi pädeva järelevalveasutuse vastu.

5. Liikmesriigid pööravad täitmisele käesolevas artiklis osutatud kohtute otsused.

5. Liikmesriigid pööravad täitmisele käesolevas artiklis osutatud kohtute otsused.

Muudatusettepanek  184

Ettepanek võtta vastu määrus

Artikkel 75 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2. Vastutava töötleja või volitatud töötleja vastu algatatakse menetlus selle liikmesriigi kohtus, kus vastutav töötleja või volitatud töötleja asub. Menetluse võib algatada ka selle liikmesriigi kohtus, kus asub andmesubjekti alaline elukoht, välja arvatud juhul, kui vastutav töötleja on avalikku võimu teostav avaliku sektori asutus.

2. Vastutava töötleja või volitatud töötleja vastu algatatakse menetlus selle liikmesriigi kohtus, kus vastutav töötleja või volitatud töötleja asub. Menetluse võib algatada ka selle liikmesriigi kohtus, kus asub andmesubjekti alaline elukoht, välja arvatud juhul, kui vastutav töötleja on liidu või liikmesriigi avalikku võimu teostav avaliku sektori asutus.

Muudatusettepanek  185

Ettepanek võtta vastu määrus

Artikkel 76 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Igal artikli 73 lõikes 2 osutatud asutusel, organisatsioonil või ühingul on õigus kasutada artiklites 74 ja 75 osutatud õigusi ühe või mitme andmesubjekti nimel.

1. Igal artikli 73 lõikes 2 osutatud asutusel, organisatsioonil või ühingul on õigus kasutada artiklites 74, 75 ja 77 osutatud õigusi, kui üks või mitu andmesubjekti on teda selleks volitanud.

Muudatusettepanek  186

Ettepanek võtta vastu määrus

Artikkel 77 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Kõikidel isikutel, kes on kandnud kahju keelatud andmetöötlustoimingu või käesoleva määruse sätetega vastuolus oleva toimingu tagajärjel, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist kahju tekitamise eest.

1. Kõikidel isikutel, kes on kandnud kahju, kaasa arvatud mittevaralist kahju keelatud andmetöötlustoimingu või käesoleva määruse sätetega vastuolus oleva toimingu tagajärjel, on õigus nõuda vastutavalt töötlejalt või volitatud töötlejalt hüvitist kahju tekitamise eest.

Muudatusettepanek  187

Ettepanek võtta vastu määrus

Artikkel 77 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2. Kui töötlemistoimingutega on seotud rohkem kui üks vastutav töötleja või volitatud töötleja, on iga vastutav töötleja või volitatud töötleja solidaarselt vastutav kogu kahju eest.

2. Kui töötlemistoimingutega on seotud rohkem kui üks vastutav töötleja või volitatud töötleja, vastutavad kõik töötlejad või volitatud töötlejad solidaarselt kogu kahju eest, välja arvatud juhul, kui nad on sõlminud vastavalt artiklile 24 nõuetekohase kirjaliku kokkuleppe igaühe vastutuse kehtestamise kohta.

Muudatusettepanek  188

Ettepanek võtta vastu määrus

Artikkel 79

Komisjoni ettepanek

Muudatusettepanek

Halduskaristused

Halduskaristused

1. Igal järelevalveasutusel on õigus kohaldada halduskaristusi kooskõlas käesoleva artikliga.

1. Igal järelevalveasutusel on õigus kohaldada halduskaristusi kooskõlas käesoleva artikliga. Järelevalveasutused teevad omavahel koostööd kooskõlas artiklitega 46 ja 57, et tagada liidus ühtlustatud sanktsioonide tase.

2. Halduskaristused on igal üksikul juhul tõhusad, proportsionaalsed ja hoiatavad. Haldustrahvi suurus määratakse kindlaks, arvestades igati rikkumise olemust, raskust ja kestust, kõrvalekaldumise tahtlikku või tahtmatut iseloomu, füüsilise või juriidilise isiku või nende isikute varasemate rikkumiste vastutuse määra, kooskõlas artikliga 23 kohaldatud tehnilisi ja organisatoorseid meetmeid ja protseduure ning rikkumise heastamiseks järelevalveasutusega tehtava koostöö määra.

2. Halduskaristused on igal üksikul juhul tõhusad, proportsionaalsed ja hoiatavad.

 

2 a. Kõigile, kes ei täida käesolevas määruses sätestatud kohustusi, kohaldab järelevalveasutus vähemalt ühte järgnevatest karistustest:

 

a) kirjalik hoiatus esimese ja tahtmatu rikkumise korral;

 

b) korrapärased isikuandmete kaitse auditid;

 

c) kuni 100 000 000 euro suurune trahv või trahv ettevõttele, mis ulatub kuni 5%-ni tema ülemaailmsest aastakäibest, sõltuvalt sellest, kumb on suurem.

 

2 b. Kui vastutaval töötlejal või volitatud töötlejal on artikli 39 kohane kehtiv märgis „Euroopa isikuandmete kaitse pitser”, kohaldatakse lõike 2 a punkti c kohast trahvi ainult tahtliku või hoolimatusest põhjustatud rikkumise korral.

 

2c. Halduskaristuse määramisel võetakse arvesse järgmisi asjaolusid:

 

a) rikkumise olemus, raskus ja kestus;

 

b) rikkumise tahtlik või tahtmatu iseloom;

 

c) füüsilise või juriidilise isiku ja nende isikute varasemate rikkumiste vastutuse määr;

 

d) rikkumise korduv olemus;

 

e) rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks järelevalveasutusega tehtava koostöö määr;

 

f) rikkumisest mõjutatud isikuandmete eriliigid;

 

g) andmesubjektile tekitatud kahju, sealhulgas mittevaralise kahju tase;

 

h) vastutava või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

 

i) rikkumisest otseselt või kaudselt saada kavatsetud või saadud finantskasu või välditud kaotused;

 

j) kohaldatud tehniliste ja organisatoorsete meetmete ja korra määr, kohaldatud kooskõlas:

 

i)Artikkel 23 – Isikuandmete lõimitud kaitse ja vaikimisi kaitse

 

ii) Artikkel 30 – Töötlemise turvalisus

 

iii) Artikkel 33 – Isikuandmete kaitsele avaldatava mõju hinnang

 

iv) Artikkel 33 a – Isikuandmete kaitsele avaldatava mõju hinnang

 

v)Artikkel 35 – Andmekaitseametniku määramine

 

k) järelevalveasutuse poolt kooskõlas artikliga 53 tehtavate inspektsioonide, auditite ja kontrollidega koostöö tegemisest keeldumine.

 

l) muud raskendavad või kergendavad tegurid, mis on kohaldatavad juhtumi asjaoludele.

3. Käesoleva määruse esimese ja tahtmatu rikkumise korral ei kohaldata karistusi, vaid esitatakse kirjalik hoiatus, kui:

 

a) füüsiline isik töötleb isikuandmeid ilma ärihuve omamata või

 

b) vähem kui 250 töötajaga ettevõte või organisatsioon töötleb isikuandmeid oma põhitegevuse kõrvaltegevusena.

 

4. Järelevalveasutus määrab kuni 250 000 euro suuruse trahvi või ettevõttele trahvi, mis ulatub kuni 0,5 %-ni ülemaailmsest aastakäibest, igaühele, kes tahtlikult või hooletusest:

 

a) ei kehtesta mehhanisme andmesubjektide taotluste jaoks või ei vasta andmesubjektidele viivitamata või nõutavas vormis kooskõlas artikli 12 lõigetega 1 ja 2;

 

b) võtab andmesubjektidele antava teabe või nende taotlustele vastamise eest tasu, rikkudes artikli 12 lõiget 4.

 

5. Järelevalveasutus määrab kuni 500 000 euro suuruse trahvi või ettevõttele trahvi, mis ulatub kuni 1 %-ni ülemaailmsest aastakäibest, igaühele, kes tahtlikult või hooletusest:

 

a) ei esita andmesubjektile teavet või teeb seda puudulikult või ei tee seda piisavalt läbipaistval viisil vastavalt artiklile 11, artikli 12 lõikele 3 ja artiklile 14;

 

b) ei võimalda andmesubjektidele juurdepääsu või ei paranda isikuandmeid vastavalt artiklitele 15 ja 16 või ei edasta saajale asjakohast teavet vastavalt artiklile 13;

 

c) rikub õigust olla unustatud või õigust andmete kustutamisele või ei kehtesta tähtaegadest kinnipidamise tagamiseks mehhanisme või ei võta kõiki vajalikke meetmeid kolmandate isikute teavitamiseks, et andmesubjekt nõuab andmetele osutavate linkide ning andmete koopiate ja korduste kustutamist kooskõlas artikliga 17;

 

d) ei esita isikuandmete koopiat elektroonilisel kujul või artikli 18 vastaselt takistab andmesubjektil edastada isikuandmeid teisele rakendusele;

 

e) ei määra üldse või piisavas ulatuses kindlaks kaasvastutavate töötlejate asjakohaseid kohustusi vastavalt artiklile 24;

 

f) ei säilita üldse või piisaval määral dokumente vastavalt artiklile 28, artikli 31 lõikele 4 ja artikli 44 lõikele 3;

 

g) juhtudel, kui tegemist ei ole konkreetsete andmekategooriatega, ei täida artiklite 80, 82 ja 83 kohaseid eeskirju, mis on seotud sõnavabadusega või mis käsitlevad töötlemist töösuhte kontekstis või ajaloo- ja statistikauurimuste ning teadustöö eesmärgil.

 

6. Järelevalveasutus määrab kuni 1 000 000 euro suuruse trahvi või ettevõttele trahvi, mis ulatub kuni 2 %-ni ülemaailmsest aastakäibest, igaühele, kes tahtlikult või hooletusest:

 

a) töötleb isikuandmeid ilma või piisava õigusliku aluseta ja ei täida artiklite 6, 7 ja 8 kohaseid nõusoleku andmise tingimusi;

 

b) töötleb andmete erikategooriaid artiklite 9 ja 81 tingimusi rikkudes;

 

c) rikub artikli 19 kohast vaidlustamisõigust või nõuet;

 

d) ei täida artikli 20 kohasel profiilianalüüsil põhinevate meetmetega seotud tingimusi;

 

e) ei võta vastu sise-eeskirju või ei kohalda vajalikke meetmeid, et tagada vastavus artiklitele 22, 23 ja 30 ning seda tõendada;

 

f) ei määra esindajat vastavalt artiklile 25;

 

g) töötleb isikuandmeid või annab korralduse nende töötlemiseks, rikkudes kohustusi, mis on seotud vastutava töötleja nimel tehtavate töötlemistoimingutega vastavalt artiklitele 26 ja 27;

 

h) ei hoiata ega teata isikuandmetega seotud rikkumisest ega anna järelevalveasutusele ja andmesubjektile õigeaegselt või täies ulatuses teada andmetega seotud rikkumisest vastavalt artiklitele 31 ja 32;

 

i) ei tee artiklis 33 nõutud isikuandmete kaitse mõjuhinnangut või töötleb isikuandmeid ilma järelevalveasutuse eelneva loata või konsulteerimiseta, nagu on nõutud artiklis 34;

 

j) ei määra ametisse andmekaitseametnikku ega taga tingimusi artiklite 35, 36 ja 37 kohaste ülesannete täitmiseks;

 

k) kuritarvitab isikuandmekaitse pitserit või märgist artikli 39 tähenduses;

 

l) kannab kolmandale riigile või rahvusvahelisele organisatsioonile andmeid üle või annab selleks korralduse, mis ei ole lubatud piisava kaitstuse otsuse või asjakohaste kaitsemeetmete või erandi alusel vastavalt artiklitele 40–44;

 

m) ei täida järelevalveasutuse ajutist või alalist töötlemiskeeldu või andmevoogude peatamise keeldu vastavalt artikli 53 lõikele 1;

 

n) ei täida kohustust aidata järelevalveasutust, talle vastata või edastada vajalikku teavet või võimaldada tal juurdepääs ruumidele vastavalt artikli 28 lõikele 3, artiklile 29, artikli 34 lõikele 6 ja artikli 53 lõikele 2;

 

o) ei täida artikli 84 kohaseid ametisaladuse kaitsmise eeskirju.

 

7. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte eesmärgiga ajakohastada lõigetes 4, 5 ja 6 osutatud haldustrahvide summad, võttes arvesse lõikes 2 osutatud tingimusi.

7. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte eesmärgiga ajakohastada lõikes 2 a osutatud haldustrahvide absoluutsummad, võttes arvesse lõigetes 2 ja 2 c osutatud tingimusi ja tegureid.

Muudatusettepanek  189

Ettepanek võtta vastu määrus

Artikkel 80 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Liikmesriigid näevad isikuandmete töötlemiseks üksnes ajakirjanduse jaoks või kirjandusliku või kunstilise eneseväljenduse huvides ette vabastused või erandid järgmistest sätetest: II peatükk põhimõtted, III peatükk andmesubjekti õigused, IV peatükk vastutav töötleja ja volitatud töötleja, V peatükk isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, VI peatükk sõltumatud järelevalveasutused ja VII peatükk koostöö ja järjepidevus, et ühitada õigus isikuandmete kaitsele sõnavabadust käsitlevate eeskirjadega.

1. Liikmesriigid näevad kooskõlas Euroopa Liidu põhiõiguste hartaga ette vabastused või erandid järgmistest sätetest: II peatükk põhimõtted, III peatükk andmesubjekti õigused, IV peatükk vastutav töötleja ja volitatud töötleja, V peatükk isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, VI peatükk sõltumatud järelevalveasutused ja VII peatükk koostöö ja järjepidevus ning XI peatükk andmete töötlemise eriolukordadega seotud sätted, kui see on vajalik, et ühitada õigus isikuandmete kaitsele sõnavabadust käsitlevate eeskirjadega.

Muudatusettepanek  190

Ettepanek võtta vastu määrus

Artikkel 80 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 80 a

 

Juurdepääs dokumentidele

 

1. Avaliku sektori asutuse või organi valduses olevates dokumentides sisalduvaid isikuandmeid võib see asutus või organ avaldada kooskõlas liidu või liikmesriigi õigusaktidega, mis käsitlevad ametlike dokumentide üldist kättesaadavust ja millega ühitatakse õigus isikuandmete kaitsele ametlike dokumentide üldise kättesaadavuse põhimõttega.

 

2. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.

Muudatusettepanek  191

Ettepanek võtta vastu määrus

Artikkel 81

Komisjoni ettepanek

Muudatusettepanek

Terviseandmete töötlemine

Terviseandmete töötlemine

1. Käesoleva määruse piires ja vastavalt artikli 9 lõike 2 punktile h tuleb terviseandmeid töödelda tuginedes liidu või liikmesriigi õigusele, milles nähakse ette sobivad ja konkreetsed meetmed andmesubjekti õigustatud huvi kaitsmiseks, ning töötlemine peab olema vajalik:

1. Kooskõlas käesolevas määruses sätestatud eeskirjadega, eelkõige artikli 9 lõike 2 punktiga h, tuleb terviseandmeid töödelda tuginedes liidu või liikmesriigi õigusele, milles nähakse ette sobivad ja konkreetsed meetmed andmesubjekti huvide ja põhiõiguste kaitsmiseks, kui töötlemine on vajalik ja proportsionaalne ja on võimalik prognoosida selle mõju andmesubjektile:

a) ennetava meditsiini või töömeditsiini, meditsiinilise diagnoosi, meditsiinilise abi või ravi võimaldamise või tervishoiuteenuste korraldamise jaoks ja kui kõnealuseid andmeid töötleb tervishoiutöötaja, kelle puhul kehtib ametisaladuse hoidmise kohustus, või mõni teine isik, kelle suhtes kehtib liikmesriigi õiguses või liikmesriigi pädevate ametiasutuste kehtestatud eeskirjades sätestatud samaväärne saladuse hoidmise kohustus, või

a) ennetava meditsiini või töömeditsiini, meditsiinilise diagnoosi, meditsiinilise abi või ravi võimaldamise või tervishoiuteenuste korraldamise jaoks ja kui kõnealuseid andmeid töötleb tervishoiutöötaja, kelle puhul kehtib ametisaladuse hoidmise kohustus, või mõni teine isik, kelle suhtes kehtib liikmesriigi õiguses või liikmesriigi pädevate ametiasutuste kehtestatud eeskirjades sätestatud samaväärne saladuse hoidmise kohustus, või

b) rahvatervise valdkonna avaliku huvi tõttu, näiteks kaitse tervisele avalduva tõsise piiriülese ohu korral või kõrgete kvaliteedi ja ohutuse standardite tagamine, muu hulgas ravimite või meditsiiniseadmete puhul; või

b) rahvatervise valdkonna avaliku huvi tõttu, näiteks kaitse tervisele avalduva tõsise piiriülese ohu korral või kõrgete kvaliteedi ja ohutuse standardite tagamine, muu hulgas ravimite või meditsiiniseadmete puhul, ja kui andmeid töötleb isik, kes on kohustatud tagama andmete konfidentsiaalsuse; või

c) muudel avaliku huviga seotud põhjustel, näiteks sellistes valdkondades nagu sotsiaalne kaitse, eriti selleks, et tagada hüvitisnõuete rahuldamise menetluste ja tervisekindlustussüsteemi teenuste kvaliteet ning tasuvus.

c) muudel avaliku huviga seotud põhjustel, näiteks sellistes valdkondades nagu sotsiaalne kaitse, eriti selleks, et tagada hüvitisnõuete rahuldamise menetluste ja tervisekindlustussüsteemi kvaliteet ning tasuvus ning tervishoiuteenuste osutamine. Sellise terviseandmete avalikes huvides töötlemine ei tohi põhjustada isikuandmete töötlemist muudel eesmärkidel, välja arvatud andmesubjekti nõusolekul või liidu või liikmesriigi õiguse alusel.

 

1 a. Kui lõike 1 punktides a–c osutatud eesmärgid on võimalik saavutada ilma isikuandmete kasutamiseta, ei kasutata isikuandmeid neil eesmärkidel, välja arvatud, kui andmesubjekt annab selleks nõusoleku või see toimub vastavalt liikmesriigi õigusele.

 

1 b. Kui meditsiiniliste andmete töötlemiseks üksnes rahvatervisega seotud teadusuuringute eesmärkidel on vaja andmesubjekti nõusolekut, võib andmesubjekt anda oma nõusoleku ühe või mitme konkreetse või sarnase teadusuuringu jaoks. Siiski võib andmesubjekt oma nõusoleku igal ajal tagasi võtta.

 

1 c. Juhul kui nõusolekut küsitakse osalemiseks kliinilisi uuringuid hõlmavate teadusuuringute jaoks, kohaldatakse Euroopa Parlamendi ja nõukogu direktiivi 2001/20/EÜ1 asjakohaseid sätteid.

2. Terviseandmete töötlemise puhul, mis on vajalik ajaloo- ja statistikauurimuste ning teadustöö eesmärgil, näiteks patsientide registrite loomine, et parandada diagnoosimist ja eristada sarnast tüüpi haigusi ja valmistada ette ravivõimaluste uuringuid, kohaldatakse artiklis 83 osutatud tingimusi ja kaitsemeetmeid.

2. Terviseandmete töötlemine, mis on vajalik ajaloo- ja statistikauurimuste ning teadustöö eesmärgil, on lubatud ainult andmesubjekti nõusolekul ja sellise töötlemise puhul kohaldatakse artiklis 83 osutatud tingimusi ja kaitsemeetmeid.

 

2 a. Liikmesriikide õiguses võib esineda erandeid lõikes 2 osutatud nõudest saada teadustöö puhul nõusolek, kui on tegemist suurt avalikku huvi teeniva teadusuuringuga ja kui seda ei ole võimalik teha muul viisil. Kõnesolevad andmed muudetakse anonüümseks või kui see ei ole teadustöö eesmärkide tõttu võimalik, kasutatakse varjunimesid rangeimate tehniliste standardite alusel ning võetakse kõik vajalikud meetmed, et vältida põhjendamatut andmesubjektide taastuvastamist. Siiski on andmesubjektil artikli 19 kohaselt õigus esitada igal ajahetkel vastuväide.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse muid avaliku huvi põhjusi rahvatervise valdkonnas, nagu on osutatud lõike 1 punktis b, ning samuti lõikes 1 osutatud eesmärkidel tehtavate isikuandmete töötlemise kaitsemeetmete tingimusi ja nõudeid.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist vastu delegeeritud õigusakte, millega täpsustatakse muid avaliku huvi põhjusi rahvatervise valdkonnas, nagu on osutatud lõike 1 punktis b, ning samuti suurt avalikku huvi teadusuuringute valdkonnas, nagu on osutatud lõikes 2 a.

 

3 a. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.

 

1 Euroopa Parlamendi ja nõukogu 4. aprilli 2001. aasta direktiiv 2001/20/EÜ liikmesriikide õigus- ja haldusnormide ühtlustamise kohta, mis käsitlevad hea kliinilise tava rakendamist inimtervishoius kasutatavate ravimite kliinilistes uuringutes (ELT L 121, 1.5.2001, lk 34).

Muudatusettepanek  192

Ettepanek võtta vastu määrus

Artikkel 82

Komisjoni ettepanek

Muudatusettepanek

Töötlemine töösuhte kontekstis

Andmetöötlemise miinimumnõuded töösuhte kontekstis

1. Käesoleva määruse piires võivad liikmesriigid vastu võtta õigusakte, millega reguleeritakse töötajate isikuandmete töötlemist töösuhete kontekstis, eelkõige seoses töötajate värbamisega, töölepingu, sealhulgas õigusaktides või kollektiivlepingutes sätestatud kohustuste täitmisega, juhtimisega, töö kavandamise ja korraldamisega, töötervishoiu ja tööohutusega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ja töösuhte lõppemisega.

1. Kooskõlas käesoleva määruse sätetega ja proportsionaalsuse põhimõtet arvesse võttes võivad liikmesriigid vastu võtta õigusaktide erisätteid, millega reguleeritakse töötajate isikuandmete töötlemist töösuhete kontekstis, eelkõige, kuid mitte ainult seoses töötajate värbamisega ja leidmisega kontsernides, seoses töölepingu, sealhulgas riiklike seaduste ja tavade kohaselt õigusaktides ja kollektiivlepingutes sätestatud kohustuste täitmisega, kollektiivlepingutega, juhtimisega, töö kavandamise ja korraldamisega, töötervishoiu ja tööohutusega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ja töösuhte lõppemisega. Käesoleva artikli sätete üksikasjalikumaks täpsustamiseks võivad liikmesriigid lubada võtta vastu kollektiivlepinguid.

 

1 a. Selliste andmete eesmärk peab olema seotud põhjusega, milleks neid koguti, ning jääma töösuhte konteksti. Profiilide koostamine või teisesteks eesmärkideks kasutamine ei tohi olla lubatud.

 

1 b. Töötaja nõusolek ei anna tööandjale andmete töötlemiseks õiguslikku alust, kui nõusolek ei ole antud vabatahtlikult.

 

1c. Ilma et see piiraks käesoleva määruse muude sätete kohaldamist, hõlmavad lõikes 1 nimetatud liikmesriikide õigusaktid vähemalt järgmisi miinimumstandardeid:

 

 

a) töötajate andmete töötlemine ilma töötajaid sellest teavitamata ei ole lubatud. Erandina esimesest lausest võivad liikmesriigid, kehtestades asjakohased kustutamise tähtajad, lubada õigusaktiga andmete töötlemist juhul, kui dokumenteeritud tõendite alusel võib eeldada, et töötaja on pannud töösuhtes toime kuriteo või eeskirjade raske rikkumise, andmete kogumine on vajalik selle uurimiseks ning andmete kogumise viis ja ulatus on eesmärki silmas pidades vajalik ja proportsionaalne Igal ajal peab olema tagatud töötajate era- ja intiimelu puutumatus. Juurdlus on pädevate asutuste ülesanne;

 

b) keelatud on ettevõtte selliste osade avatud optilis-elektrooniline ja/või avatud akustilis-elektrooniline jälgimine, millele avalikkusel puudub juurdepääs ja mida töötaja kasutab peamiselt oma eraelu korraldamiseks, eelkõige hügieeni-, riietus-, puhke- ja magamisruumides. Varjatud jälgimine on igal juhul keelatud;

 

c) kui ettevõtted või ametiasutused koguvad või töötlevad arstlike läbivaatuste ja/või sobivuskatsete raames isikuandmeid, peavad nad kandidaadile või töövõtjale eelnevalt selgitama, millisel eesmärgil neid andmeid kasutatakse, ning tagama, et need tehakse andmesubjektile seejärel koos tulemustega teatavaks ja neid selgitatakse nõudmise korral. Andmete kogumine geenitestide ja -analüüside eesmärgil on põhimõtteliselt keelatud;

 

d) selle, kas ja mil määral on telefoni, e-posti, interneti ja muude telekommunikatsiooniteenuste kasutamine lubatud ka eraotstarbel, võib reguleerida kollektiivlepinguga. Kui kollektiivlepinguga reguleerimine puudub, sõlmib tööandja vastava kokkuleppe vahetult töötajaga. Kui erakasutus on lubatud, on sellest tulenevate andmeliiklusandmete töötlemine lubatud eelkõige andmete turvalisuse tagamiseks, telekommunikatsioonivõrkude ja telekommunikatsiooniteenuste nõuetekohase toimimise tagamiseks ning arveldusteks.

 

Erandina kolmandast lausest võivad liikmesriigid, kehtestades asjakohased kustutamise tähtajad, lubada õigusaktiga andmete töötlemist juhul, kui dokumenteeritud tõendite alusel võib eeldada, et töötaja on pannud töösuhtes toime kuriteo või eeskirjade raske rikkumise, andmete kogumine on vajalik selle uurimiseks ning andmete kogumise viis ja ulatus on eesmärki silmas pidades vajalik ja proportsionaalne Igal ajal peab olema tagatud töötajate era- ja intiimelu puutumatus; Juurdlus on pädevate asutuste ülesanne;

 

e) töötaja isikuandmeid, eeskätt delikaatseid andmeid nagu poliitiline meelsus ning liikmelisus ja tegevus ametiühingus, ei tohi ühelgi juhul kasutada töötajate lisamiseks nn musta nimekirja ning nende tulevase töölevõtmise keelamiseks või takistamiseks. Töösuhte kontekstis on keelatud nn mustade nimekirjade töötlemine ja kasutamine, nende koostamine ja edastamine. Liikmesriigid viivad selle lõike tõhusaks rakendamiseks läbi kontrolle ja võtavad kasutusele artikli 79 lõikele 6 vastavad asjakohased meetmed.

 

1 d. Töötajate isikuandmete edastamine ja töötlemine kontserni õiguslikult eraldiseisvate ettevõtete vahel ning koos õigus- ja maksunõustamisega tegelevate ekspertidega on lubatud, kui see on ettevõtte huvides ja selle eesmärk on sihtotstarbeliste tööprotsesside ja haldustoimingute läbiviimine ning see ei ole vastuolus kaitset vääriva andmesubjekti õiguspäraste huvidega ja põhiõigustega. Töötajate andmete edastamisel kolmandasse riiki ja/või rahvusvahelisele organisatsioonile kohaldatakse V peatükki.

2. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.

2. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõigetele 1 ja 1 b vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse selliste isikuandmete töötlemise kaitsemeetmete tingimusi ja nõudeid, millele eesmärgid on esitatud lõikes 1.

3. Komisjoni volitatakse vastavalt artiklile 86 võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist vastu delegeeritud õigusakte, millega täpsustatakse selliste isikuandmete töötlemise kaitsemeetmete tingimusi ja nõudeid, mille eesmärgid on esitatud lõikes 1.

Muudatusettepanek  193

Ettepanek võtta vastu määrus

Artikkel 82 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 82 a

 

Töötlemine sotsiaalkindlustuse kontekstis

 

1. Kooskõlas käesolevas määruses sätestatud eeskirjadega võivad liikmesriigid vastu võtta konkreetseid õigusnorme, milles esitatakse üksikasjalikud tingimused, mille alusel võivad nende avaliku sektori asutused ja talitused töödelda isikuandmeid sotsiaalkindlustuse kontekstis, kui seda tehakse avalikes huvides.

 

2. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.

Muudatusettepanek  194

Ettepanek võtta vastu määrus

Artikkel 83

Komisjoni ettepanek

Muudatusettepanek

Töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil

Töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil

1. Käesoleva määruse piires võib isikuandmeid töödelda ajaloo- ja statistikauurimuste ning teadustöö eesmärgil üksnes juhul, kui:

1. Kooskõlas käesoleva määruse sätetega võib isikuandmeid töödelda ajaloo- ja statistikauurimuste ning teadustöö eesmärgil üksnes juhul, kui:

a) seda eesmärki ei ole võimalik muul viisil saavutada, töödeldes andmeid, mis ei võimalda või mis enam ei võimalda andmesubjekti tuvastada;

a) seda eesmärki ei ole võimalik muul viisil saavutada, töödeldes andmeid, mis ei võimalda või mis enam ei võimalda andmesubjekti tuvastada;

b) andmeid, mis võimaldavad seostada teavet tuvastatud või tuvastatava andmesubjektiga, hoitakse eraldi muust teabest, kui seda eesmärki saab nii täita.

b) andmeid, mis võimaldavad seostada teavet tuvastatud või tuvastatava andmesubjektiga, hoitakse eraldi muust teabest rangeimate tehniliste standardite alusel ning võetakse kõik vajalikud meetmed, et vältida põhjendamatut andmesubjektide taastuvastamist.

2. Ajaloo- ja statistikauurimuste ning teadustööga tegelevad asutused võivad isikuandmeid avaldada või muul viisil avalikustada üksnes juhul, kui:

 

a) andmesubjekt on andnud nõusoleku vastavalt artiklis 7 sätestatud tingimustele

 

b) isikuandmete avaldamine on vajalik teadustöö tulemuste tutvustamiseks või teadustegevuse edendamiseks ja kui andmesubjekti huvid või põhiõigused ja -vabadused ei ole ülimuslikud nende huvide suhtes või

 

c) andmesubjekt on andmed avalikustanud.

 

3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse isikuandmete töötlemise tingimusi ja nõudeid, mille eesmärgid on esitatud lõigetes 1 ja 2, ja samuti vajalikke piiranguid, mis seatakse andmesubjekti õigusele saada teavet ja omada juurdepääsu, ja esitada üksikasjalikult andmesubjekti õiguste tingimused ja kaitsemeetmed sellistes olukordades.

 

Muudatusettepanek  195

Ettepanek võtta vastu määrus

Artikkel 83 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 83 a

 

Isikuandmete töötlemine arhiivides

 

1. Isikuandmete töötlemine kauem kui on vajalik täitmaks esmase töötlemise eesmärki, milleks neid koguti, on lubatud arhiividel, kelle esmane ülesanne või juriidiline kohustus on koguda, säilitada, korrastada, edastada ja levitada arhivaale avalikes huvides, eriti konkreetsete isikute õiguste alusel või seoses ajaloo, statistika või teadusega. Andmete edastamise ja levitamise ülesannet täidetakse vastavalt liikmesriikides sätestatud eeskirjadele, mis reguleerivad haldusdokumentide ja arhivaalide kättesaadavust, edastamist ja levitamist., ning kooskõlas käesolevas määruses sätestatud eeskirjadega, eelkõige seoses nõusoleku andmisega ja vastuväite esitamisega.

 

2. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.

Muudatusettepanek  196

Ettepanek võtta vastu määrus

Artikkel 84 – lõige 1

Komisjoni ettepanek

Muudatusettepanek

1. Käesoleva määruse piires võivad liikmesriigid vastu võtta erieeskirju, et kehtestada artikli 53 lõikes 2 sätestatud järelevalveasutuste uurimisvolitused seoses vastutavate töötlejate või volitatud töötlejatega, kellel on siseriiklike õigusaktide või pädevate asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus või muu samaväärne saladuse hoidmise kohustus, kui see on vajalik ja proportsionaalne, et ühildada isikuandmete kaitse õigust ja saladuse hoidmise kohustust. Neid eeskirju kohaldatakse üksnes nende isiklike andmete suhtes, mis vastutav töötleja või volitatud töötleja on saanud saladuse hoidmise kohustusega hõlmatud tegevuse käigus.

1. Kooskõlas käesoleva määruse sätetega tagavad liikmesriigid selliste erieeskirjade kehtestamise, milles on kehtestatud artiklis 53 sätestatud järelevalveasutuste uurimisvolitused seoses vastutavate töötlejate või volitatud töötlejatega, kellel on siseriiklike õigusaktide või pädevate asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus või muu samaväärne saladuse hoidmise kohustus, kui see on vajalik ja proportsionaalne, et ühildada isikuandmete kaitse õigust ja saladuse hoidmise kohustust. Neid eeskirju kohaldatakse üksnes nende isiklike andmete suhtes, mis vastutav töötleja või volitatud töötleja on saanud saladuse hoidmise kohustusega hõlmatud tegevuse käigus.

Muudatusettepanek  197

Ettepanek võtta vastu määrus

Artikkel 85

Komisjoni ettepanek

Muudatusettepanek

Kirikute ja usuühenduste suhtes kehtivad isikuandmete kaitse eeskirjad

Kirikute ja usuühenduste suhtes kehtivad isikuandmete kaitse eeskirjad

1. Kui käesoleva määruse jõustumise ajal kohaldavad liikmesriigi kirikud ja usuühendused või -kogukonnad põhjalikke eeskirju, mis on seotud üksikisikute kaitsega isikuandmete töötlemisel, võib nende eeskirjade kohaldamist jätkata tingimusel, et need viiakse kooskõlla käesoleva määruse sätetega.

1. Kui käesoleva määruse jõustumise ajal kohaldavad liikmesriigi kirikud ja usuühendused või -kogukonnad asjakohaseid eeskirju, mis on seotud üksikisikute kaitsega isikuandmete töötlemisel, võib nende eeskirjade kohaldamist jätkata tingimusel, et need viiakse kooskõlla käesoleva määruse sätetega.

2. Kirikud ja usuühendused, kes kohaldavad põhjalikke eeskirju kooskõlas lõikega 1, näevad ette sõltumatu järelevalveasutuse loomise vastavalt käesoleva määruse VI peatükile.

2. Kirikud või usuühendused, kes kohaldavad asjakohaseid eeskirju kooskõlas lõikega 1, peavad saama vastavalt artiklile 38 arvamuse vastavuse kohta.

Muudatusettepanek  198

Ettepanek võtta vastu määrus

Artikkel 85 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 85 a

 

Inimõiguste austamine

 

Käesolev määrus ei mõjuta kohustust austada põhiõigusi ja õiguse üldpõhimõtteid, mis on sätestatud ELi lepingu artiklis 6.

Muudatusettepanek  199

Ettepanek võtta vastu määrus

Artikkel 85 b (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 85 b

 

Standardvorm

 

1. Komisjon võib, võttes arvesse eri sektorite ja andmetöötluse olukordade iseärasusi ja vajadusi, kehtestada alljärgneva jaoks standardvormid:

 

a) artikli 8 lõikes 1 osutatud kontrollitava nõusoleku saamise erimeetodid;

 

b) artikli 12 lõikes 2 osutatud teabevahetus, sealhulgas elektrooniline teabevahetus;

 

c) artikli 14 lõigetes 1 kuni 3 osutatud teabe esitamine;

 

d) artikli 15 lõikes 1 osutatud teabele juurdepääsu taotlemine ja võimaldamine, sealhulgas andmesubjektidele isikuandmete edastamine;

 

e) artikli 28 lõikes 1 osutatud dokumentatsioon;

 

f) järelevalveasutuse teavitamine rikkumisest vastavalt artiklile 31 ning artikli 31 lõikes 4 osutatud dokumentatsioon;

 

g) artiklis 34 osutatud eelnev konsulteerimine ning järelevalveasutuse teavitamine vastavalt artikli 34 lõikele 6.

 

2. Seejuures võtab komisjon asjakohased meetmed mikro-, väikeste ja keskmise suurusega ettevõtete suhtes.

 

3. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

Muudatusettepanek  200

Ettepanek võtta vastu määrus

Artikkel 86 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2. Alates käesoleva määruse jõustumisest antakse komisjonile määramata ajaks artikli 6 lõikes 5, artikli 8 lõikes 3, artikli 9 lõikes 3, artikli 12 lõikes 5, artikli 14 lõikes 7, artikli 15 lõikes 3, artikli 17 lõikes 9, artikli 20 lõikes 5, artikli 22 lõikes 4, artikli 23 lõikes 3, artikli 26 lõikes 5, artikli 28 lõikes 5, artikli 30 lõikes 3, artikli 31 lõikes 5, artikli 32 lõikes 5, artikli 33 lõikes 5, artikli 34 lõikes 8, artikli 35 lõikes 11, artikli 37 lõikes 2, artikli 39 lõikes 2, artikli 43 lõikes 3, artikli 44 lõikes 7, artikli 79 lõikes 7, artikli 81 lõikes 3, artikli 82 lõikes 3 ja artikli 83 lõikes 3 osutatud volituste delegeerimine.

2. Alates käesoleva määruse jõustumisest antakse komisjonile määramata ajaks volitused võtta vastu artikli 13 a lõikes 5, artikli 17 lõikes 9, artikli 38 lõikes 4, artikli 39 lõikes 2, artikli 41 lõikes 3, artikli 41 lõikes 5, artikli 43 lõikes 3, artikli 79 lõikes 7, artikli 81 lõikes 3 ja artikli 82 lõikes 3 osutatud delegeeritud õigusakte.

Muudatusettepanek  201

Ettepanek võtta vastu määrus

Artikkel 86 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3. Euroopa Parlament ja nõukogu võivad artikli 6 lõikes 5, artikli 8 lõikes 3, artikli 9 lõikes 3, artikli 12 lõikes 5, artikli 14 lõikes 7, artikli 15 lõikes 3, artikli 17 lõikes 9, artikli 20 lõikes 5, artikli 22 lõikes 4, artikli 23 lõikes 3, artikli 26 lõikes 5, artikli 28 lõikes 5, artikli 30 lõikes 3, artikli 31 lõikes 5, artikli 32 lõikes 5, artikli 33 lõikes 5, artikli 34 lõikes 8, artikli 35 lõikes 11, artikli 37 lõikes 2, artikli 39 lõikes 2, artikli 43 lõikes 3, artikli 44 lõikes 7, artikli 79 lõikes 7, artikli 81 lõikes 3, artikli 82 lõikes 3 ja artikli 83 lõikes 3 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

3. Euroopa Parlament ja nõukogu võivad artikli 13 a lõikes 5, artikli 17 lõikes 9, artikli 38 lõikes 4, artikli 39 lõikes 2, artikli 41 lõikes 3, artikli 41 lõikes 5, artikli 43 lõikes 3, artikli 79 lõikes 7, artikli 81 lõikes 3 ja artikli 82 lõikes 3 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

Muudatusettepanek  202

Ettepanek võtta vastu määrus

Artikkel 86 – lõige 5

Komisjoni ettepanek

Muudatusettepanek

5. Vastavalt artikli 6 lõikele 5, artikli 8 lõikele 3, artikli 9 lõikele 3, artikli 12 lõikele 5, artikli 14 lõikele 7, artikli 15 lõikele 3, artikli 17 lõikele 9, artikli 20 lõikele 5, artikli 22 lõikele 4, artikli 23 lõikele 3, artikli 26 lõikele 5, artikli 28 lõikele 5, artikli 30 lõikele 3, artikli 31 lõikele 5, artikli 32 lõikele 5, artikli 33 lõikele 7, artikli 34 lõikele 8, artikli 35 lõikele 11, artikli 37 lõikele 2, artikli 39 lõikele 2, artikli 43 lõikele 3, artikli 44 lõikele 7, artikli 79 lõikele 6, artikli 81 lõikele 3, artikli 82 lõikele 3 ja artikli 83 lõikele 3 vastu võetud delegeeritud aktid jõustuvad vaid siis, kui Euroopa Parlament ega nõukogu ei ole nende suhtes vastuväiteid esitanud kahe kuu jooksul alates õigusakti teatavakstegemisest Euroopa Parlamendile ja nõukogule või kui enne selle ajavahemiku lõppemist Euroopa Parlament ja nõukogu teavitavad komisjoni vastuväidete puudumisest. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahe kuu võrra.

5. Vastavalt artikli 13 a lõikele 5, artikli 17 lõikele 9, artikli 38 lõikele 4, artikli 39 lõikele 2, artikli 41 lõikele 3, artikli 41 lõikele 5, artikli 43 lõikele 3, artikli 79 lõikele 7, artikli 81 lõikele 3 ja artikli 82 lõikele 3 vastu võetud delegeeritud aktid jõustuvad vaid siis, kui Euroopa Parlament ega nõukogu ei ole nende suhtes vastuväiteid esitanud kahe kuu jooksul alates õigusakti teatavakstegemisest Euroopa Parlamendile ja nõukogule või kui enne selle ajavahemiku lõppemist Euroopa Parlament ja nõukogu teavitavad komisjoni vastuväidete puudumisest. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kuue kuu võrra.

Muudatusettepanek  203

Ettepanek võtta vastu määrus

Artikkel 87 – lõige 3

Komisjoni ettepanek

Muudatusettepanek

3. Kui on viidatud käesolevale lõikele, kohaldatakse määruse (EL) nr 182/2011 artiklit 8 koostoimes nimetatud määruse artikliga 5.

välja jäetud

Muudatusettepanek  204

Ettepanek võtta vastu määrus

Artikkel 89 – lõige 2

Komisjoni ettepanek

Muudatusettepanek

2. Direktiivi 2002/58/EÜ artikli 1 lõige 2 jäetakse välja.

2. Direktiivi 2002/58/EÜ artikli 1 lõige 2 ning artiklid 4 ja 15 jäetakse välja.

Muudatusettepanek  205

Ettepanek võtta vastu määrus

Artikkel 89 – lõige 2 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

2 a. Komisjon esitab viivitamata ja hiljemalt artikli 91 lõikes 2 osutatud kuupäevaks ettepaneku isikuandmete töötlemist ja eraelu kaitset elektroonilises sides reguleeriva õigusraamistiku ülevaatamise kohta, et tagada vastavus käesolevale määrusele ning tagada sidusad ja ühtsed õigusaktid isikuandmete kaitse alase põhiõiguse tagamiseks Euroopa Liidus.

Muudatusettepanek  206

Ettepanek võtta vastu määrus

Artikkel 89 a (uus)

Komisjoni ettepanek

Muudatusettepanek

 

Artikkel 89 a

 

Seos määrusega (EÜ) nr 45/2001 ja selle muutmine

 

1. Käesolevas määruses kehtestatud eeskirju kohaldatakse isikuandmete töötlemise suhtes liidu institutsioonides, organites ja asutustes küsimuste puhul, mille suhtes ei kohaldata määruses (EÜ) nr 45/2001 sätestatud lisaeeskirju.

 

2. Komisjon esitab viivitamata ja hiljemalt artikli 91 lõikes 2 osutatud kuupäevaks ettepaneku isikuandmete töötlemist liidu institutsioonides, organites ja asutustes reguleeriva õigusraamistiku ülevaatamise kohta.

Lisa 1 – Artiklis 13 a (uus) osutatud üksikasjade esitamine

1) Võttes arvesse punktis 6 osutatud proportsioone, sätestatakse üksikasjad alljärgnevalt:

2) Punkt 1 tabeli teise veeru pealkirjaga „OLULINE TEAVE” ridades vormindatakse rasvases kirjas järgmised sõnad:

a) sõna „koguta“ teise veeru esimeses reas;

b) sõna „säilitata“ teise veeru teises reas;

c) sõna „töödeldakse“ teise veeru kolmandas reas;

d) sõna „levitata“ teise veeru neljandas reas;

e) sõnad „müüda ega anta rendile“ teise veeru viiendas reas;

f) sõna „krüpteerimata“ teise veeru kuuendas reas.

3) Võttes arvesse punktis 6 osutatud proportsioone, tuleb punktis 1 toodud tabeli kolmanda veeru pealkirjaga „TÄIDETUD” ridasid täiendada kooskõlas punktis 4 sätestatud tingimustega alljärgnevalt esitatud kahest graafilisest kujundist ühega:

a)

b)

4)

a) Kui isikuandmeid ei koguta rohkem kui on vaja iga kindla töötlemistoimingu eesmärgil, siis punktis 1 toodud tabeli kolmanda veeru esimesse ritta tuleb punktis 3a osutatud graafiline kujutis.

b) Kui isikuandmeid kogutakse rohkem kui on vaja iga kindla töötlemistoimingu eesmärgil, siis punktis 1 toodud tabeli kolmanda veeru esimesse ritta tuleb punktis 3b osutatud graafiline kujutis.

c) Kui isikuandmeid ei säilitata rohkem kui vaja iga kindla töötlemistoimingu eesmärgil, siis punktis 1 toodud tabeli kolmanda veeru teise ritta tuleb punktis 3a osutatud graafiline kujutis.

d) Kui isikuandmeid kogutakse rohkem kui vaja iga kindla töötlemistoimingu eesmärgil, siis punktis 1 toodud tabeli kolmanda veeru teise ritta tuleb punktis 3b osutatud graafiline kujutis.

e) Kui isikuandmeid ei töödelda muudel kui nende kogumise aluseks olnud eesmärkidel, siis punktis 1 toodud tabeli kolmanda veeru kolmandasse ritta tuleb punktis 3a osutatud graafiline kujutis.

f) Kui isikuandmeid töödeldakse muudel kui nende kogumise aluseks olnud eesmärkidel, siis punktis 1 toodud tabeli kolmanda veeru kolmandasse ritta tuleb punktis 3b osutatud graafiline kujutis.

g) Kui isikuandmeid levitatakse äritegevusega seotud kolmandatele isikutele, siis punktis 1 toodud tabeli kolmanda veeru neljandasse ritta tuleb punktis 3a osutatud graafiline kujutis.

h) Kui isikuandmeid ei koguta rohkem kui vaja iga kindla töötlemistoimingu eesmärgil, siis punktis 1 toodud tabeli 1 kolmanda veeru neljandasse ritta tuleb punktis 3b osutatud graafiline kujutis.

i) Kui isikuandmeid ei müüda või ei anta rendile, siis punktis 1 toodud tabeli kolmanda veeru viiendasse ritta tuleb punktis 3a osutatud graafiline kujutis.

j) Kui isikuandmeid müüakse või antakse rendile, siis punktis 1 toodud tabeli kolmanda veeru viiendasse ritta tuleb punktis 3b osutatud graafiline kujutis.

k) Kui isikuandmeid ei säilitata krüpteerimata kujul, siis punktis 1 toodud tabeli kolmanda veeru kuuendasse ritta tuleb punktis 3a osutatud graafiline kujutis.

l) Kui isikuandmeid säilitatakse krüpteerimata kujul, siis punktis 1 toodud tabeli kolmanda veeru kuuendasse ritta tuleb punktis 3b osutatud graafiline kujutis.

5) Punktis 1 toodud graafiliste kujutiste etalonvärvid on Pantone must nr 7547 ja punane nr 485. Punktis 3a toodud graafilise kujutise etalonvärv on Pantone roheline nr 370. Punktis 3b toodud graafilise kujutise etalonvärv on Pantone punane nr 485.

6) Tabeli suurendamisel või vähendamisel tuleb kinni pidada järgnevalt esitatud joonise proportsioonidest:

(1)

ELT L 229, 31.7.2012, lk 90.


SELETUSKIRI

Sissejuhatus

Kooskõlas Euroopa Liidu põhiõiguste harta artikliga 8 isikuandmete kaitse õiguse kohta:

1.        Igaühel on õigus oma isikuandmete kaitsele.

2.        Selliseid andmeid tuleb töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja asjaomase isiku nõusolekul, või muul seaduses ettenähtud õiguslikul alusel. Igaühel on õigus tutvuda tema kohta kogutud andmetega ja nõuda nende parandamist.

3.        Nende sätete täitmist kontrollib sõltumatu asutus.

Alates üksikisikute kaitset isikuandmete töötlemisel ja selliste andmete vaba liikumist käsitleva direktiivi 95/46/EÜ vastuvõtmisest on andmekaitse valdkonnas palju muutunud, nimelt tehnoloogia areng, isikuandmete kogumise ja töötlemise ulatuse suurenemine, muu hulgas õiguskaitse eesmärgil, kohaldatavaid andmekaitsealaseid eeskirju on palju ning turud ja koostöö on üleilmastumas.

Ühtlasi ei ole direktiivi abil toimunud asjakohast ühtlustamist selle sätete erineva rakendamise tõttu liikmesriikides. Selles kontekstis on üksikisikute („andmesubjektid”) jaoks muutunud aina keerulisemaks oma andmekaitseõiguse kasutamine.

Samuti on see tõkestanud ühtse turu väljakujundamist ning ettevõtjad (isikuandmete „vastutavad töötlejad” või „volitatud töötlejad”) ja üksikisikud peavad tulema toime erinevustega andmekaitsealastes nõuetes.

Lissaboni lepingu jõustumisest alates on liidul selgesõnaline õiguslik alus andmekaitseks, mis hõlmab isikuandmete töötlemist avalikus ja erasektoris, aga ka õiguskaitse kontekstis (see tuleneb Lissaboni lepingule eelnenud nn sambastruktuuri kadumisest) (ELi toimimise lepingu artikli 16 lõige 2). Komisjon on nüüd kasutanud ELi toimimise lepingu artikli 16 lõiget 2 õigusliku alusena, et esitada ettepanekuid liidu andmekaitseraamistiku läbivaatamise kohta. Komisjon on esitanud ettepaneku võtta vastu määrus (COM(2012) 11), mis asendab direktiivi 95/46/EÜ (raportöör Jan Philipp Albrecht, Verts/ALE) ja ettepaneku võtta vastu direktiiv (COM(2012) 10), mis asendab raamotsust 2008/977/JSK kriminaalkuritegude ennetamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täideviimiseks töödeldavate isikuandmete kaitse kohta (raportöör Dimitrios Droutsas, S_D). Mõlemad raportöörid toetavad eesmärki luua täiesti sidus, ühtlustatud ja tugev raamistik, mis pakub ELis kogu andmetöötlustegevuse kõrgetasemelist kaitset.(1) Eesmärgi saavutamiseks tuleb komisjoni ettepanekuid käsitleda ühe paketina, mis vajab mõlema ettepaneku jaoks kooskõlastatud seadusloomet.

Andmekaitsereformi teemal on parlamendi seisukohale laia toetuspinna tagamiseks toimunud laiaulatuslikud arutelud raportööride, variraportööride, arvamust esitavate komisjonide (ITRE, IMCO, JURI, EMPL) arvamuste koostajate, nõukogu eesistuja, Euroopa Komisjoni ja sidusrühmade (andmekaitseasutused, riiklikud ametiasutused, asjaomaste tegevusvaldkondade esindajad, kodanikuõiguste ja tarbijate organisatsioonid ning akadeemilised eksperdid) vahel.

Kodanikuvabaduste, justiits- ja siseasjade komisjon (LIBE) korraldas 29. mail 2012 sidusrühmade seminari. Samuti korraldas LIBE-komisjon koos riikide parlamentidega 9. ja 10. oktoobril 2012 iga-aastase parlamentidevahelise komisjonide koosoleku vabadusel, turvalisusel ja õigusel rajaneva ala ja andmekaitse reformipaketi teemal. Andmekaitse reformipaketi teemal esitati neli töödokumenti.

Seisukoht isikuandmete kaitse määruse teemal

Komisjoni ettepanek põhineb järgmistel eesmärkidel:

– terviklik lähenemisviis isikuandmete kaitsele;

– üksikisiku õiguste tugevdamine;

– siseturu mõõtme edasiarendamine ning andmekaitse-eeskirjade parema täitmise tagamine;

– üleilmse mõõtme tugevdamine.

Raportöör toetab neid püüdlusi. Tema vaatenurk on esitatud neile vastavalt.

Terviklik lähenemisviis isikuandmete kaitsele

Nagu on osutatud 6. juuli 2012. aasta töödokumendis(2), tervitab raportöör asjaolu, et komisjon on otsustanud asendada direktiivi 95/46 (vahetult kohaldatava) määrusega, kuna see peaks vähendama andmekaitse käsitlemise killustatust liikmesriikides.

Samuti nõustub ta komisjoni pragmaatilise lähenemisviisiga jätta määrusega kooskõlas liikmesriikidele võimalus säilitada või võtta vastu erieeskirju sellistes küsimustes nagu sõnavabadus, ametisaladus, tervis ja tööhõive (artiklid 81–85). Eriti viidatakse tööhõive- ja sotsiaalkomisjoni tööle ning komisjon esitab arvamuse artikli 82 kohta.(3)

ELi institutsioonid ei kuulu uue määruse reguleerimisalasse. Siiski tuleks neid käsitleda, et tagada kogu liidus järjepidev ja ühetaoline raamistik. See nõuab ELi õigusvahendite, eriti määruse (EÜ) nr 45/2001 kohandamist, et viia nad täielikult kooskõlla isikuandmete kaitse määrusega enne selle kohaldamist. Raportöör peab ühtlasi vajalikuks horisontaalsemat mõttevahetust selle üle, kuidas tegeleda ELi eri asutuste (nagu Europol ja Eurojust) jaoks ette nähtud andmekaitse-eeskirjade rägastikuga ning tagada järjepidevus andmekaitsepaketiga (artikli 2 punkt b, artikkel 89 a).

Raportöör avaldab suurt kahetsust selle üle, et komisjoni ettepanekus ei käsitleta õiguskaitsealast koostööd (mille kohta tehakse eraldiseisva direktiivi ettepanek). See tekitab õiguslikku ebakindlust õiguste ja kohustuste suhtes piiripealsetes küsimustes, näiteks kui õiguskaitseasutus tutvub äriandmetega õiguskaitse eesmärgil ning kui õiguskaitse eest vastutavate asutuste ja muude asutuste vahel toimub andmeedastus. Direktiivi ettepanekut käsitlevas raportis käsitletakse neid küsimusi ja esitatakse muudatusettepanekud. Määruses täpsustatakse, et määruse reguleerimisalast jäetakse välja ainult õiguskaitsetegevuses pädevad ametiasutused (mitte eraõiguslikud isikud) ja et kohaldatavate õigusaktidega tuleks võimaldada piisavad kaitsemeetmed vajaduse ja proportsionaalsuse põhimõtte alusel (artikli 2 punkt e, artikkel 21).

Määruse territoriaalne kohaldamisala on oluline küsimus ELi isikuandmete kaitse alaste õigusaktide kohaldamise järjekindluse mõttes. Raportöör soovib täpsustada, et määrust tuleks kohaldada ka väljaspool ELi asuva vastutava töötleja suhtes, kui töötlemistoimingute eesmärk on jälgida ELis asuvaid andmesubjekte või pakkuda neile kaupu või teenuseid, olenemata sellest, kas nende kaupade või teenuste eest nõutakse tasu (artikli 3 lõige 2).

Määrus peab olema kõikehõlmav ka õiguskindluse pakkumisel. Delegeeritud õigusaktide ja rakendusaktide laiaulatuslik kasutamine on selle eesmärgiga vastuolus. Seetõttu teeb raportöör ettepaneku jätta välja mitu sätet, millega antakse komisjonile delegeeritud õigusaktide vastuvõtmise volitus. Ent selleks, et tagada õiguskindlust seal, kus võimalik, on raportöör asendanud mitu akti määruse üksikasjalikuma sõnastusega (näiteks artikli 6 lõike 1 punkt b, artikkel 15, artikli 35 lõige 10). Mujal teeb raportöör ettepaneku usaldada komisjonile delegeeritud õigusakti vastuvõtmise volituse andmise asemel teatud sätte kriteeriumide ja nõuete täpsustamise ülesanne Euroopa Andmekaitsenõukogule. Põhjus on selles, et neil juhtudel puudutab küsimus riiklike järelevalveasutuste koostööd ja nad on paremas positsioonis, et määrata kindlaks kohaldatavad põhimõtted ja tavad (näiteks artikli 23 lõige 3, artikli 30 lõige 3, artikli 42 lõige 3, artikli 44 lõige 7 ja artikli 55 lõige 10).

Üksikisikute õiguste tugevdamine

Kuna määruses rakendatakse põhiõigust, jäetakse kõrvale määruse reguleerimisala piiramine, eriti mis puudutab mõiste „isikuandmed” määratlust ja näiteks subjektiivsete elementide lisamist, mis on seotud jõupingutustega, mida vastutaval töötlejal tuleb teha isikuandmete tuvastamiseks. Isikuandmete kontseptsiooni täpsustatakse objektiivsete kriteeriumidega (artikli 4 punkt 1, põhjendused 23 ja 24). Õigustatud muret teatud ettevõtlusmudelite suhtes saab käsitleda ilma, et üksikisikutele tuleks keelata nende põhiõigusi. Selles kontekstis ergutab raportöör teenuste kasutamist varjunimedega või anonüümselt. Varjunimega tähistatud andmete puhul võib vastutava töötleja kohustuste suhtes teha mööndusi (artikli 4 punkt 2 a, artikkel 10, põhjendus 23).

ELi lähenemisviisis andmekaitsele peaks jääma nurgakiviks nõusolek, sest see on parim viis, kuidas üksikisikud saavad kontrollida andmetöötlustoiminguid. Teave andmesubjektidele tuleks esitada kergesti arusaadaval kujul, näiteks standardsete logode või ikoonide abil (artikli 11 lõiked 2 a ja 2 b). Kehtivaks selgesõnaliseks nõusolekuks võib pidada andmesubjekti selget soovi väljendavaid tehnilisi standardeid (artikli 7 lõige 2 a, artikkel 23).

Profiilianalüüsiga teadliku nõusoleku tagamiseks tuleb see määratleda ja seda reguleerida (artikli 4 punkt 3 b, artikli 14 lõike 1 punktid g, g a ja g b, artikli 15 lõige 1, artikkel 20). Selgelt tuleks määratleda muud õiguslikud alused andmete töötlemiseks kui nõusolek, iseäranis vastutava töötleja „õigustatud huvi” (artikli 6 lõike 1 punkti f asendavaid artikli 6 lõikeid 1 a, 1 b ja 1 c käsitlev muudatusettepanek).

Eesmärgi piiritlemine on andmekaitse põhielement, sest see kaitseb andmesubjekte andmetöötluse ettenägematu pikendamise eest. Isikuandmete eesmärgi muutmine pärast isikuandmete kogumist ei tohiks olla võimalik üksnes vastutava töötleja õigustatud huvi põhjendusel. Seepärast teeb raportöör ettepaneku artikli 6 lõike 4 laiendamise asemel see välja jätta.

Raportöör pooldab andmetega tutvumise õiguse tugevdamist andmete ülekantavuse õigusega ehk võimalusega kanda oma andmed ühest platvormist teise. Digitaalajastul võib andmesubjekt õigustatult eeldada, ka tarbija rollis, et tema isikuandmed edastatakse talle üldkasutatavas elektroonilises vormingus (artikli 15 lõike 2 punkt a). Seetõttu teeb raportöör ettepaneku liita artiklid 15 ja 18.

Õigus andmete kustutamisele ja õigus andmete parandamisele on olulised andmesubjektide jaoks, kuna avalikustatakse järjest enam teavet, mis võib avaldada olulist mõju. „Õigust olla unustatud” tuleb käsitleda selles kontekstis. Muudatusettepanekutes täpsustatakse neid õigusi digitaalkeskkonna jaoks, säilitades samal ajal üldise erandi sõnavabadusele. Kolmandatele isikutele edastatud või ilma asjakohase õigusliku aluseta avaldatud andmete puhul peaks vastutaval töötlejal lasuma kohustus teavitada kõnealuseid kolmandaid isikuid ja tagada andmete kustutamine. Kui aga isik on nõus tema andmete avaldamisega, siis ei ole „õigus olla unustatud” õigustatud ega realistlik (artikkel 17, põhjendus 54).

Õigus vaidlustada edasine töötlemine peaks olema alati tasuta ja seda tuleks andmesubjektile selgesõnaliselt pakkuda, kasutades selget, lihtsat ja kohandatud keelt (artikli 19 lõige 2). Samuti on vajalik pakkuda paremaid võimalusi tõhusaks kahju hüvitamiseks, sealhulgas avalikes huvides tegutsevate ühingute poolt (artiklid 73 ja 76).

Siseturu mõõtme edasiarendamine ning andmekaitse-eeskirjade parema täitmise tagamine

Raportöör pooldab kavandatud üleminekut teavitamisnõuetelt andmekaitseasutuste, praktilise vastutuse ja ettevõtete andmekaitseametnike kasutamisele. Määruse ettepanekut saab lihtsustada teabeõiguste ja dokumenteerimise nõuete liitmisega, sest need on olemuselt ühe ja sama medali kaks külge. See vähendab vastutavate töötlejate halduskoormust ja lihtsustab üksikisikutele nende õigustest arusaamist ja õiguste kasutamist (artiklid 14 ja 28). Pilvandmetöötluse ajastul ei tohiks võtta andmekaitseametniku kohustusliku määramise aluseks ettevõtte suurust, vaid pigem andmetöötluse tähtsust (isikuandmete liik, töötlemistoimingu liik ja nende üksikisikute arv, kelle andmeid töödeldakse) (artikkel 35). Täpsustatakse, et andmekaitseametniku amet võib olla osalise tööajaga ülesanne, olenevalt ettevõtte suurusest ja andmetöötluse hulgast (põhjendus 75).

Isikuandmete lõimitud kaitse ja vaikimisi kaitse on heaks kiidetud kui reformi peamine uuendus. See tagaks, et töödeldakse ainult andmeid, mis on vajalikud erieesmärgil. Tootjatelt ja teenuste osutajatelt nõutakse asjakohaste meetmete rakendamist. Euroopa Andmekaitsenõukogule tuleks usaldada täiendavate suuniste koostamine (artikkel 23). Eraelu puutumatuse mõjuhinnangut käsitlevate muudatusettepanekute eesmärk on teha täpsemalt kindlaks olukorrad, kus tuleks teha selline mõjuhinnang (artikli 33 lõige 2), ja hinnatavad elemendid (artikli 33 lõige 3).

Raportöör teeb ettepaneku pikendada isikuandmetega seotud rikkumisest järelevalveasutusele teatamise perioodi 24 tunnilt 72 tunnile. Ühtlasi tuleks andmesubjektide teavitamistüdimuse ennetamiseks andmesubjekti teavitada ainult juhtudel, kui andmetega seotud rikkumine mõjutab tõenäoliselt negatiivselt isikuandmete kaitset või andmesubjekti eraelu puutumatust, näiteks identiteedivarguse või pettuse, rahalise kahju, füüsilise kahju, märkimisväärse alandamise või maine kahjustamise korral. Teavitamine peaks hõlmama ka isikuandmetega seotud rikkumise laadi kirjeldust ja teavet õiguste (sealhulgas kahju hüvitamise võimaluste) kohta (artiklid 31 ja 32). Rikkumisest teavitamise, mõjuhinnangute ning andmete kustutamise nõudmise õiguse ja õiguse olla unustatud kohta tehakse ettepanek, et komisjon võtab õiguskindluse tagamiseks vastu delegeeritud õigusaktid enne määruse kohaldamise kuupäeva (artikli 86 lõige 5 a).

Pooldatakse toimimisjuhendeid, sertifitseerimist ja pitsereid, aga samas on vaja pakkuda stiimuleid, selleks et esitada ja kasutada selgemaid eeskirju põhimõtete kohta, mida mainitud meetmete puhul järgida tuleb, ning andmetöötluse seaduslikkuse, kohustuste ja seonduvate aspektide tagajärgede kohta. Komisjoni sõnul määrusega kooskõlas olevate toimimisjuhenditega antakse andmesubjektidele kohtulikult kaitstavad õigused. Sertifitseerimise pitserite puhul tuleb ette näha pitseri väljaandmise ja tühistamise ametlik kord ning tagada isikuandmete kaitse põhimõtete ja andmesubjektide õiguste järgimine (artiklid 38 ja 39).

Määrus peaks tagama ka ühtse tööraamistiku kõigile andmekaitseasutustele. Andmekaitseasutuste toimimiseks on ülitähtis, et neil asutustel, kes peavad olema täiesti sõltumatud, on piisavalt vahendeid oma ülesannete tulemuslikuks täitmiseks (artikkel 47). Lisaks tugevdatakse andmekaitseasutuste koostööd Euroopa Andmekaitsenõukogu raames (Euroopa Andmekaitsenõukogu asendab edaspidi praegust „artikli 29 töörühma”). Raportöör peab riiklike andmekaitseasutuste vahel ette nähtud koostöö ja järjepidevuse mehhanismi määratuks sammuks edasi isikuandmete kaitset käsitlevate õigusaktide sidusa rakendamise suunas ELis. Komisjoni välja pakutud mudel aga ei taga andmekaitseasutuste vajalikku sõltumatust. Eri võimaluste hindamise järel pakutakse välja alternatiivne mehhanism, mille puhul jääb kehtima juhtiva andmekaitseasutuse kontseptsioon, aga mis tugineb järjepidevuse tagamisel ka andmekaitseasutuste tihedale koostööle (artiklid 51 ja 55 a). Sisuliselt on andmekaitseasutus pädev tegema järelevalvet tema territooriumil toimuvate või tema territooriumil elavaid andmesubjekte mõjutavate töötlemistoimingute üle. Kui töötleja on mitmes liikmesriigis tegevuskohta omav vastutav töötleja või volitatud töötleja või töötlemine mõjutab mitme liikmesriigi andmesubjekte, on vastutava töötleja peamise tegevuskoha andmekaitseasutus juhtiv asutus, kes tegutseb vastutava töötleja või volitatud töötleja ühtse kontaktpunktina. Juhtiv asutus tagab kooskõlastatuse asjaomaste asutustega ja konsulteerib enne ühegi meetme vastuvõtmist teiste asutustega. Kui on ebaselge, kes on juhtiv asutus, või andmekaitseasutused ei jõua kokkuleppele, määrab juhtiva asutuse Euroopa Andmekaitsenõukogu. Kui juhtumiga seotud andmekaitseasutus ei ole nõus juhtiva asutuse esitatud meetme eelnõuga, esitab Euroopa Andmekaitsenõukogu oma arvamuse. Kui juhtiv asutus ei kavatse seda arvamust järgida, teavitab ta sellest Euroopa Andmekaitsenõukogu ja esitab põhjenduse. Euroopa Andmekaitsenõukogu võib liikmete kvalifitseeritud häälteenamuse alusel teha lõpliku otsuse, mis on järelevalveasutusele õiguslikult siduv. Otsuse võib läbi vaadata kohus (artiklid 45 a, 55 ja 58). Samuti võib komisjon otsuse Euroopa Liidu Kohtus vaidlustada ja taotleda meetme peatamist (artikkel 61 a).

Raportöör toetab andmekaitseasutuste uurimisvolituste ja karistuste tugevdamist. Komisjoni ettepanek on aga liiga üksikasjalik. Raportöör teeb ettepaneku lihtsustatud korra kohta, mille raames antakse andmekaitseasutustele suurem kaalutlusõigus ja samas usaldatakse Euroopa Andmekaitsenõukogule jõustamise järjepidevuse tagamise roll (artiklid 52, 53, 78 ja 79). Samuti täpsustatakse karistuste süsteemi, lisades mitu kriteeriumi, mida tuleb arvesse võtta, et määrata kindlaks andmekaitseasutuse poolt võimaliku kohaldatava trahvi tase.

Üleilmse mõõtme tugevdamine

Nagu seni, säilitatakse komisjoni volitus teha otsuseid, millega tunnistatakse kolmanda riigi, kolmanda riigi territooriumi ja rahvusvaheliste organisatsioonide piisavust või mittepiisavust. Kuid raportöör lükkab tagasi väljapakutud uue võimaluse tunnustada kolmandate riikide sektoreid piisavana, sest see tekitaks õiguslikku ebakindlust ja õõnestaks liidu eesmärki saavutada ühtlustatud ja ühtne rahvusvaheline andmekaitse raamistik. Tugevdatakse kolmanda riigi piisavuse hindamise kriteeriume (artikli 41 lõige 2). Tehakse ka ettepanek, et komisjon kinnitab piisavuse rakendusakti asemel delegeeritud õigusakti kaudu, et nõukogu ja parlament saaksid kasutada oma kontrolliõigust (artikli 41 lõiked 3 ja 5).

Piisavust käsitleva otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma piisava kaitse ja kaitsemeetmete tagamiseks asjakohaseid kaitsemeetmeid, nagu siduvad ettevõtluseeskirjad või komisjoni või järelevalveasutuse poolt vastu võetud isikuandmete kaitse standardklauslid. Artikli 41 lõiget 1 a ja artiklit 42 käsitlevates muudatusettepanekutes täpsustatakse ja esitatakse üksikasjalikult vajalikud kaitsemeetmed, mida need õigusaktid sisaldama peaksid.

Pakutakse välja uus artikkel 43 a, et tegeleda probleemiga, mis on tekkinud seoses kolmandate riikide avaliku sektori asutuste või kohtute taotlustega tutvuda ELis säilitatavate ja töödeldavate isikuandmetega. Järelevalveasutus peaks andma edastamiseks loa ainult pärast seda, kui ta on kontrollinud, et edastamine vastab määrusele ja eelkõige artikli 44 lõike 1 punktile d või e. Säärane olukord saab veelgi tähtsamaks pilvandmetöötluse arenguga ja seda tuleb siin käsitleda.

Ülevaade

Raportöör pooldab eesmärki tugevdada õigust isikuandmete kaitsele, tagades samal ajal ühtse õigusraamistiku ja vähendades vastutavate töötlejate halduskoormust. Ta teeb ettepaneku piirata komisjoni rolli rakendamises vajaliku miinimumini, täpsustades määruse teksti olemuslikke osi ja jättes tegeliku rakendamise andmekaitseasutuste koostöömehhanismi ülesandeks. Raportöör teeb ettepaneku rõhutada veelgi tehnoloogiliste meetmete kasutamist isikuandmete kaitse ja määruse järgimise tagamise eesmärgil, kombineerides selliste meetmete kasutamise stiimulitega vastutavatele töötlejatele. Kooskõlas vastutuse lähenemisviisiga tugevdatakse ettevõtete andmekaitseametnike rolli, vähendades samas järelevalveasutustega eelneva konsulteerimise vajadust. Sama reguleerivat raamistikku tuleks kohaldada vahehindamise ajal liidu institutsioonide, organite ja asutuste suhtes. Kui parlament, nõukogu ja komisjon toetavad neid elemente, parandab andmekaitse uus õigusraamistik nii üksikisikute kui ka vastutavate töötlejate olukorda ning on eesootavateks aastateks töökindel.

Koos kõigi fraktsioonide variraportööridega ja arvamuste koostajatega tehtud laiaulatusliku töö käigus koostas raportöör suure hulga muudatusettepanekuid, mis kajastavad osavõtnud kolleegide vahelist arutelu. Käesolevasse raportisse on kaasatud mitu kompromissi eelkõige isikuandmete töötlemise põhimõtete, õiguslike aluste, andmesubjektide õiguste, vastutavat töötlejat ja volitatud töötlejat käsitlevate sätete, järjepidevuse mehhanismi ja karistuste teemal. Raportöör loodab, et tema ettepanekud moodustavad kindla aluse kiirele kokkuleppele Euroopa Parlamendis ja läbirääkimistele nõukoguga Iirimaa eesistumise ajal.

(1)

DT/905569ET.doc

(2)

DT/905569ET.doc

(3)

PA/918358ET.doc


TÖÖHÕIVE- JA SOTSIAALKOMISJONI ARVAMUS (4.3.2013)

kodanikuvabaduste, justiits- ja siseasjade komisjonile

ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Arvamuse koostaja: Nadja Hirsch

LÜHISELGITUS

Arvamuse koostaja peab käeolevat määrust ja selle eesmärki, milleks on andmekaitse täiendav ühtlustamine Euroopa Liidus, väga tervitatavaks.

Käesoleva arvamuse eesmärk on järgmine: On selge, et kõikehõlmavat üleeuroopalist töötajate isikuandmete kaitset ei ole võimalik reguleerida ühe artikliga. Pigem on eesmärgiks määrata kindlaks teatavad alustalad. Tõelise üleeuroopalise töö- ja siseturu loomist silmas pidades võib järgmise sammuna kaalutleda töötajate isikuandmete kaitse reguleerimist Euroopa tasandil. See oleks võimalik ELi toimimise lepingu artikli 288 alusel.

Kuigi suur osa andmete töötlemisest ELis puudutab töösuhet, käsitletakse töötajate isikuandmete kaitset määruses väga vähe. Lisaks raskendab määruse abstraktsus tihti reeglite tõlgendamist töösuhete kontekstis.

Arvamuse koostaja on seisukohal, et töötajate isikuandmete kaitsega seotud probleemidele käesolevas määruses on kõige parem tähelepanu juhtida, piirdudes arvamuses artikli 82 käsitlemisega. See annab võimaluse sisu laiendamiseks ja määruse töötajate isikuandmete kaitsega seotud eri artiklite ühendamiseks.

Artikli 82 lõige 1 ja põhjendus 124

Oma praeguses staadiumis ja eelkõige töötajate isikuandmete kaitse valdkonnas saab käesolev määrus pakkuda üksnes minimaalset kaitset. Lisaks sellele peab igal liikmesriigil olema ka edaspidi võimalik kehtestada töövõtjatele soodsamaid standardeid. Lisaks peab olema võimalik selliste standardite kindlaksmääramine kollektiivlepingutes. Määratlus „käesoleva määruse piires” tuleb mitmel põhjusel tagasi lükata. Esiteks on see vastuolus artikli 82 üldise valdkondliku erandiga ning seoses komisjoni väljapakutud delegeeritud õigusaktidega artiklis 82 võib see tuua kaasa äärmiselt segase olukorra. Teiseks võiks see kõige halvemal juhul tähendada, et liikmesriigid ei või kehtestada mingeid täiendavaid reegleid. Lõpuks tundub selline sõnastus olevat meelevaldselt valitud, kuna muude sissejuhatavate klauslite puhul, nt meedia valdkonnas, sellist piirangut ei kohaldata.

Artikli 82 lõige 1 b

Võttes arvesse tõsiasja, et seni ei ole komisjon töötajate isikuandmete kaitse kohta oma ettepanekut esitanud ning arvestades määruses esinevaid väheseid sisulisi punkte töötajate isikuandmete kaitse kohta, on vajalik kehtestada mõningad üleeuroopalised miinimumstandardid kaitsetaseme kohta. Siin esitatud nelja alapunkti ei tuleks seejuures käsitada kui täielikku nimekirja, vaid kui üksikasjaliku Euroopa tasandi andmekaitseõiguse alustalasid.

Artikli 82 lõige 1 c

Andmekaitseametnikul on ülimalt tähtis roll. Seetõttu peab olema selge, et tal on võimalik täita oma ülesandeid töövõtjate huvides ning tundmata hirmu surve või välise mõjutuse pärast. Seetõttu on kohane eriline kaitse vallandamise vastu ja diskrimineerimise keeld.

Artikli 82 lõige 1 e ja põhjendus 124 a (uus)

Komisjoni ettepanekus ei täpsustata piisavalt eeskirju ettevõttesisese andmete edastamise kohta ELi piires. Siinkohal tuleb neid käsitleda – pidades silmas töövõtja huvisid.

Artikli 82 lõige 1 f ja põhjendus 34

Nõusoleku töötlemise alustest täielik väljajätmine ei vii töösuhte puhul sihile. Seetõttu on arvamuse koostaja seisukohal, et isegi ebavõrdsuse olukorras on nõusolek võimalik, kui sellel on töövõtja jaoks õiguslikult ja majanduslikult soodsad tagajärjed.

Artikli 82 lõige 3

Delegeeritud õigusakte tuleks arvamuse koostaja arvamusel kasutada üksnes siis, kui kehtiva määruse vähemolulisi sätteid on vaja kiiresti ja paindlikult kohandada tehnilistele ja ohutusalastele uuendustele. Komisjoni ettepanekus oli see seni liiga laialt sõnastatud. Peale selle peaks saama lisaks lõikele 1 ka uut lõiget 1 c delegeeritud õigusaktidega täiendavalt reguleerida.

Artikli 82 lõige 3 a

Esitatud läbivaatamise klausel võimaldab uut hindamist.

MUUDATUSETTEPANEKUD

Tööhõive- ja sotsiaalkomisjon palub vastutaval kodanikuvabaduste, justiits- ja siseasjade komisjonil lisada oma raportisse järgmised muudatusettepanekud:

Muudatusettepanek  1

Ettepanek võtta vastu määrus

Põhjendus 34

Komisjoni ettepanek

Muudatusettepanek

(34) Nõusolek ei tohiks anda isikuandmete töötlemiseks kehtivat õiguslikku alust, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras. Nii on see eriti juhul, kui andmesubjekt sõltub vastutavast töötlejast, muu hulgas juhul, kui tööandja töötleb töövõtjate isikuandmeid töösuhte kontekstis. Juhul kui vastutav töötleja on avaliku sektori asutus, puudub tasakaal ainult selliste konkreetsete andmetöötlustoimingute puhul, mille juures avalik-õiguslik asutus saab kehtestada kohustuse oma asjakohastest avaliku võimu teostamise volitustest tulenevalt ja nõusolekut ei saa lugeda vabalt antuks, võttes arvesse andmesubjekti huve.

(34) Nõusolek ei tohiks anda isikuandmete töötlemiseks kehtivat õiguslikku alust, kui andmesubjekti ja vastutava töötleja jõuvahekord on selgelt tasakaalustamata. Nii on see eriti juhul, kui andmesubjekt sõltub vastutavast töötlejast, muu hulgas juhul, kui tööandja töötleb töövõtjate isikuandmeid töösuhte kontekstis. Töösuhte puhul moodustab andmete töötlemine, kui sellel on töövõtja jaoks peamiselt õiguslikult või majanduslikult soodsad tagajärjed, erandi. Juhul kui vastutav töötleja on avaliku sektori asutus, puudub tasakaal ainult selliste konkreetsete andmetöötlustoimingute puhul, mille juures avalik-õiguslik asutus saab kehtestada kohustuse oma asjakohastest avaliku võimu teostamise volitustest tulenevalt ja nõusolekut ei saa lugeda vabalt antuks, võttes arvesse andmesubjekti huve.

Muudatusettepanek  2

Ettepanek võtta vastu määrus

Põhjendus 75

Komisjoni ettepanek

Muudatusettepanek

(75) Kui töötlemine toimub avalikus sektoris või erasektoris