Menettely : 2012/0011(COD)
Elinkaari istunnossa
Asiakirjan elinkaari : A7-0402/2013

Käsiteltäväksi jätetyt tekstit :

A7-0402/2013

Keskustelut :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Äänestykset :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Hyväksytyt tekstit :

P7_TA(2014)0212

MIETINTÖ     ***I
PDF 3300kWORD 3650k
22. marraskuuta 2013
PE 501.927v05-00 A7-0402/2013

ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunta

Esittelijä: Jan Philipp Albrecht

TARKISTUKSET
LUONNOS EUROOPAN PARLAMENTIN LAINSÄÄDÄNTÖPÄÄTÖSLAUSELMAKSI
 PERUSTELUT
 TYÖLLISYYDEN JA SOSIAALIASIOIDEN VALIOKUNNAN LAUSUNTO
 TEOLLISUUS-, TUTKIMUS- JA ENERGIAVALIOKUNNAN LAUSUNTO
 SISÄMARKKINA- JA KULUTTAJANSUOJAVALIOKUNNAN LAUSUNTO
 OIKEUDELLISTEN ASIOIDEN VALIOKUNNAN LAUSUNTO
 ASIAN KÄSITTELY

LUONNOS EUROOPAN PARLAMENTIN LAINSÄÄDÄNTÖPÄÄTÖSLAUSELMAKSI

ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Tavallinen lainsäätämisjärjestys: ensimmäinen käsittely)

Euroopan parlamentti, joka

–   ottaa huomioon komission ehdotuksen Euroopan parlamentille ja neuvostolle (COM(2012)0011),

–   ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 2 kohdan ja 16 artiklan 2 kohdan sekä 114 artiklan 1 kohdan, joiden mukaisesti komissio on antanut ehdotuksen Euroopan parlamentille (C7-0025/2012),

–   ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 3 kohdan,

–   ottaa huomioon Belgian edustajainhuoneen, Saksan liittoneuvoston, Ranskan senaatin, Italian senaatin ja Ruotsin valtiopäivien toissijaisuus- ja suhteellisuusperiaatteen soveltamisesta tehdyn pöytäkirjan N:o 2 mukaisesti antamat perustellut lausunnot, joiden mukaan esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi ei ole toissijaisuusperiaatteen mukainen,

–   ottaa huomioon Euroopan talous- ja sosiaalikomitean 23. toukokuuta 2012 antaman lausunnon(1),

–   on kuullut alueiden komiteaa,

–   ottaa huomioon Euroopan tietosuojavaltuutetun 7. maaliskuuta 2012 antaman lausunnon,

–   ottaa huomioon Euroopan unionin perusoikeusviraston 1. lokakuuta 2012 antaman lausunnon,

–   ottaa huomioon työjärjestyksen 55 artiklan,

–   ottaa huomioon kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan mietinnön sekä työllisyyden ja sosiaaliasioiden valiokunnan, teollisuus-, tutkimus- ja energiavaliokunnan, sisämarkkina- ja kuluttajansuojavaliokunnan ja oikeudellisten asioiden valiokunnan lausunnot (A7-0402/2013),

1.  vahvistaa jäljempänä esitetyn ensimmäisen käsittelyn kannan;

2.  pyytää komissiota antamaan asian uudelleen Euroopan parlamentin käsiteltäväksi, jos se aikoo tehdä ehdotukseensa huomattavia muutoksia tai korvata sen toisella ehdotuksella;

3.  kehottaa puhemiestä välittämään parlamentin kannan neuvostolle ja komissiolle sekä kansallisille parlamenteille.

Tarkistus                  1

Ehdotus asetukseksi

Johdanto-osan 14 kappale

Komission teksti

Tarkistus

(14) Tämä asetus ei koske sellaisia perusoikeuksien ja -vapauksien suojeluun tai tietojen vapaaseen liikkuvuuteen liittyviä kysymyksiä, jotka eivät kuulu unionin oikeuden soveltamisalaan, eikä se kata unionin toimielinten, elinten ja laitosten suorittamaa henkilötietojen käsittelyä, johon sovelletaan asetusta (EY) N:o 45/200144, eikä henkilötietojen käsittelyä jäsenvaltioissa niiden toteuttaessa unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvää toimintaa.

(14) Tämä asetus ei koske sellaisia perusoikeuksien ja -vapauksien suojeluun tai tietojen vapaaseen liikkuvuuteen liittyviä kysymyksiä, jotka eivät kuulu unionin oikeuden soveltamisalaan. Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/20011 olisi saatettava tämän asetuksen mukaiseksi ja sitä olisi sovellettava tämän asetuksen mukaisesti.

____________

______________

44 EYVL L 8, 12.1.2001, s. 1.

1 Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

Tarkistus  2

Ehdotus asetukseksi

Johdanto-osan 15 kappale

Komission teksti

Tarkistus

(15) Tätä asetusta ei pitäisi soveltaa luonnollisen henkilön suorittamaan, yksinomaan henkilökohtaisen tai kotitaloutta koskevaan henkilötietojen käsittelyyn, kuten kirjeenvaihtoon tai osoitteiston pitämiseen, johon ei liity mitään ansaitsemistarkoitusta ja joka ei ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan. Tämä vapautus ei koske sellaisia rekisterinpitäjiä tai henkilötietojen käsittelijöitä, jotka tarjoavat keinot tällaiseen henkilökohtaiseen tai kotitaloutta koskevaan henkilötietojen käsittelyyn.

(15) Tätä asetusta ei pitäisi soveltaa luonnollisen henkilön suorittamaan, yksinomaan henkilökohtaisen tai perhettä tai kotitaloutta koskevaan henkilötietojen käsittelyyn, kuten kirjeenvaihtoon tai osoitteiston pitämiseen taikka yksityiseen myyntiin, joka ei ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan. Tätä asetusta olisi kuitenkin sovellettava sellaisiin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, jotka tarjoavat keinot tällaiseen henkilökohtaiseen tai kotitaloutta koskevaan henkilötietojen käsittelyyn.

Tarkistus  3

Ehdotus asetukseksi

Johdanto-osan 18 kappale

Komission teksti

Tarkistus

(18) Tämän asetuksen säännöksiä sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperiaate.

(18) Tämän asetuksen säännöksiä sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperiaate. Viranomainen tai julkishallinnon elin voi luovuttaa hallussaan olevien asiakirjojen sisältämiä henkilötietoja virallisten asiakirjojen julkisuutta koskevan unionin tai jäsenvaltion lainsäädännön mukaisesti, jossa sovitetaan yhteen henkilötietojen suojaa koskeva oikeus ja virallisten asiakirjojen julkisuutta koskeva oikeus ja joka on asianmukaisessa tasapainossa asianomaisten etujen kanssa.

Tarkistus  4

Ehdotus asetukseksi

Johdanto-osan 20 kappale

Komission teksti

Tarkistus

(20) Jotta yksilöt eivät jäisi ilman heille tämän asetuksen mukaisesti kuuluvaa tietosuojaa, tätä asetusta olisi sovellettava kaikkien unionin alueella asuvien rekisteröityjen henkilötietojen käsittelyssä, jos sitä suorittava rekisterinpitäjä ei ole sijoittautunut unioniin ja jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille tai näiden rekisteröityjen käyttäytymisen §§seurantaan.

(20) Jotta yksilöt eivät jäisi ilman heille tämän asetuksen mukaisesti kuuluvaa tietosuojaa, tätä asetusta olisi sovellettava kaikkien unionin alueella asuvien rekisteröityjen henkilötietojen käsittelyssä, jos sitä suorittava rekisterinpitäjä ei ole sijoittautunut unioniin ja jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen, mukaan luettuna maksutta tarjottavat palvelut, näille rekisteröidyille, riippumatta siitä, liittyykö niihin maksu, tai näiden rekisteröityjen seurantaan. Sen määrittämiseksi, tarjoaako kyseinen rekisterinpitäjä tavaroita ja palveluja rekisteröidyille unionissa, olisi varmistettava ilmeneekö, että rekisterinpitäjä aikoo tarjota palveluja unionin yhdessä tai useammassa jäsenvaltiossa asuville rekisteröidyille.

Tarkistus  5

Ehdotus asetukseksi

Johdanto-osan 21 kappale

Komission teksti

Tarkistus

(21) Sen määrittämiseksi, voidaanko käsittelytoiminnan katsoa koskevan rekisteröityjen käyttäytymisen seurantaa’, olisi varmistettava, onko yksilöitä seurattu internetissä sellaisten käsittelytekniikoiden avulla, jotka käsittävät ’profiilin’ soveltamisen tiettyyn yksilöön erityisesti häntä koskevien päätösten tekemistä varten tai hänen henkilökohtaisten mieltymystensä, käyttäytymisensä ja asenteidensa analysointia tai ennakoimista varten.

(21) Sen määrittämiseksi, voidaanko käsittelytoiminnan katsoa koskevan rekisteröityjen ’seurantaa’, olisi varmistettava, onko yksilöitä seurattu tietojen alkuperästä riippumatta tai onko heistä kerätty muita tietoja, mukaan lukien unionin julkisista rekistereistä ja ilmoituksista, joihin on pääsy unionin ulkopuolelta ja joihin nyt tai mahdollisesti tulevaisuudessa voidaan soveltaa sellaisia käsittelytekniikoita, jotka käsittävät ’profiilin’ soveltamisen erityisesti yksilöä koskevien päätösten tekemistä varten tai hänen henkilökohtaisten mieltymystensä, käyttäytymisensä ja asenteidensa analysointia tai ennakoimista varten.

Tarkistus  6

Ehdotus asetukseksi

Johdanto-osan 23 kappale

Komission teksti

Tarkistus

(23) Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Sen määrittämiseksi, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuuden rajoissa käyttää mainitun henkilön tunnistamiseksi. Tietosuojaperiaatteita ei pitäisi soveltaa tietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista.

(23) Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Sen määrittämiseksi, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuuden rajoissa käyttää mainitun henkilön tunnistamiseksi tai erottamiseksi muista suoraan tai epäsuorasti. Sen varmistamiseksi, käytetäänkö henkilön tunnistamiseksi kohtuuden rajoissa olevia keinoja, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja siihen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia että tekninen kehitys. Tietosuojaperiaatteita ei siksi pitäisi soveltaa nimettömiin tietoihin eli tietoihin, jotka eivät koske tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Tämä asetus ei tämän vuoksi koske tällaisten nimettömien tietojen käsittelyä, tilasto- tai tutkimustarkoitukset mukaan luettuna.

Tarkistus  7

Ehdotus asetukseksi

Johdanto-osan 24 kappale

Komission teksti

Tarkistus

(24) Verkkopalvelujen käyttäjät voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien internet-tunnisteisiin, kuten IP-osoitteisiin tai evästeisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää yhdessä ainutlaatuisten tunnisteiden ja muiden palvelimille toimitettujen tietojen avulla käyttäjien profilointiin ja tunnistamiseen. Tästä seuraa, että tunnistenumeroita, sijaintitietoja, internet-tunnisteita tai muita erityistekijöitä ei sinänsä tarvitse pitää henkilötietoina kaikissa tilanteissa.

(24) Tätä asetusta ei pitäisi soveltaa käsittelyyn, johon liittyy laitteiden, sovellusten, työkalujen ja protokollien internet-tunnisteita, kuten IP-osoitteita, evästeitä ja RFID-tunnisteita, paitsi jos ne eivät koske tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä.

Tarkistus  8

Ehdotus asetukseksi

Johdanto-osan 25 kappale

Komission teksti

Tarkistus

(25) Suostumus olisi annettava nimenomaisesti käyttäen mitä tahansa soveltuvaa tapaa, joka mahdollistaa vapaasti esitetyn, täsmällisen ja tietoon perustuvan ilmoituksen rekisteröidyn toiveista siten, että asianomainen esittää suostumusta ilmaisevan lausuman tai toteuttaa suostumusta ilmaisevan toimen, joka osoittaa, että asianomainen tietää antavansa suostumuksensa henkilötietojensa käsittelyyn, esimerkiksi rastittamalla ruudun vieraillessaan internet-sivustolla tai esittämällä minkä tahansa muun lausuman tai käyttäytymällä tavalla, joka selkeästi osoittaa tässä yhteydessä, että rekisteröity hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei pitäisi voida antaa vaikenemalla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.

(25) Suostumus olisi annettava nimenomaisesti käyttäen mitä tahansa soveltuvaa tapaa, joka mahdollistaa vapaasti esitetyn, täsmällisen ja tietoon perustuvan ilmoituksen rekisteröidyn toiveista siten, että asianomainen esittää suostumusta ilmaisevan lausuman tai toteuttaa suostumusta ilmaisevan toimen, joka on valinnan tulos ja joka osoittaa, että asianomainen tietää antavansa suostumuksensa henkilötietojensa käsittelyyn. Suostumusta ilmaiseva toimi voisi olla se, että rekisteröity rastittaa ruudun vieraillessaan internet-sivustolla tai esittää minkä tahansa muun lausuman tai käyttäytyy tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei pitäisi voida antaa vaikenemalla, jonkin palvelun pelkällä käyttämisellä tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.

Tarkistus  9

Ehdotus asetukseksi

Johdanto-osan 29 kappale

Komission teksti

Tarkistus

(29) On pyrittävä suojaamaan erityisesti lasten henkilötietoja, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, takeista tai omista oikeuksistaan. Sen määrittämiseksi, milloin yksilö on lapsi, tähän asetukseen olisi sisällytettävä lapsen oikeuksia koskevassa YK:n yleissopimuksessa vahvistettu määritelmä.

(29) On pyrittävä suojaamaan erityisesti lasten henkilötietoja, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, takeista tai omista oikeuksistaan. Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen tarjottaessa tuotteita tai palveluja suoraan lapselle, lapsen vanhemman tai laillisen edustajan olisi annettava suostumus tai valtuutus, kun lapsi on alle 13-vuotias. Kun kohdeyleisönä on lapsia, olisi käytettävä ikäryhmälle soveltuvaa kieltä. Muita lainmukaisia käsittelysyitä, kuten yleistä etua koskevat syyt, olisi edelleen sovellettava esimerkiksi tietojenkäsittelyyn suoraan lapsille osoitetuissa ennalta ehkäisevissä palveluissa tai neuvontapalveluissa.

Tarkistus  10

Ehdotus asetukseksi

Johdanto-osan 31 kappale

Komission teksti

Tarkistus

(31) Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava asianomaisen henkilön suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään lainsäädännössä, joko tässä asetuksessa tai tässä asetuksessa tarkoitetussa muussa unionin tai jäsenvaltion lainsäädännössä.

(31) Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava asianomaisen henkilön suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään lainsäädännössä, joko tässä asetuksessa tai tässä asetuksessa tarkoitetussa muussa unionin tai jäsenvaltion lainsäädännössä. Lapsen tai oikeustoimikelvottoman henkilön tapauksessa unionin tai jäsenvaltion asiaa koskevassa lainsäädännössä olisi määriteltävä suostumuksen tai valtuutuksen antamista koskevat edellytykset.

Tarkistus  11

Ehdotus asetukseksi

Johdanto-osan 32 kappale

Komission teksti

Tarkistus

(32) Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjällä olisi oltava vastuu sen osoittamisesta, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi annettava takeet sen varmistamiseksi, että rekisteröity on tietoinen siitä, että hän on antanut suostumuksensa ja että hän tietää, mitä se koskee.

(32) Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjällä olisi oltava vastuu sen osoittamisesta, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi annettava takeet sen varmistamiseksi, että rekisteröity on tietoinen siitä, että hän on antanut suostumuksensa ja että hän tietää, mitä se koskee. Jotta noudatetaan tietojen minimoinnin periaatetta, todistustaakka olisi ymmärrettävä niin, että rekisteröidyn tunnistamista vaaditaan vain, jos se on välttämätöntä. Siviilioikeuden ehtojen (esimerkiksi neuvoston direktiivi 93/13/ETY1) tavoin tietosuojatoimien olisi oltava mahdollisimman selkeitä ja läpinäkyviä. Ne eivät saisi sisältää piilotettuja tai epäedullisia lausekkeita. Suostumusta ei voida antaa kolmannen henkilön henkilötietojen käsittelyyn.

 

1 Neuvoston direktiivi 93/13/ETY, annettu 5 päivänä huhtikuuta 1993, kuluttajasopimusten kohtuuttomista ehdoista (EYVL L 95, 21.4.1993, s. 29).

Tarkistus  12

Ehdotus asetukseksi

Johdanto-osan 33 kappale

Komission teksti

Tarkistus

(33) Sen varmistamiseksi, että suostumus annetaan vapaasti, olisi täsmennettävä, että suostumus ei ole pätevä peruste tietojenkäsittelylle, jos yksilöllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.

(33) Sen varmistamiseksi, että suostumus annetaan vapaasti, olisi täsmennettävä, että suostumus ei ole pätevä peruste tietojenkäsittelylle, jos yksilöllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. Tämä koskee erityisesti tapauksia, joissa rekisterinpitäjä on viranomainen, joka voi määrätä velvoitteen asiaa koskevan julkisen valtansa nojalla, eikä suostumusta voida katsoa annetun vapaaehtoisesti. Oletusvaihtoehdot, kuten valmiiksi rastitetut ruudut, joita rekisteröidyn on muutettava vastustaakseen tietojensa käsittelyä, eivät merkitse vapaata suostumusta. Suostumusta sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen palvelun tarjoamiseksi, ei pitäisi asettaa palvelun käytön ehdoksi. Kun suostumus peruutetaan, tiedoista riippuvainen palvelu voidaan lopettaa tai jättää toteuttamatta. Jos aiotun tarkoituksen päättyminen on epäselvä, rekisterinpitäjän olisi annettava rekisteröidylle säännöllisesti tietoja tietojenkäsittelystä ja pyydettävä rekisteröityä vahvistamaan suostumuksen uudelleen.

Tarkistus  13

Ehdotus asetukseksi

Johdanto-osan 34 kappale

Komission teksti

Tarkistus

(34) Suostumuksen ei pitäisi muodostaa pätevää oikeudellista perustetta henkilötietojen käsittelylle, jos rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Näin on erityisesti siinä tapauksessa, että rekisteröity on riippuvuussuhteessa rekisterinpitäjään, esimerkiksi kun työnantaja käsittelee työntekijöiden henkilötietoja työsuhteen yhteydessä. Jos rekisterinpitäjä on viranomainen, epäsuhta liittyisi vain erityisiin tietojenkäsittelytoimiin, joiden yhteydessä viranomainen voi määrätä velvoitteen asiaa koskevien julkisten toimivaltuuksiensa nojalla eikä suostumusta voida katsoa annetun vapaaehtoisesti, kun otetaan huomioon rekisteröidyn edut.

Poistetaan.

Tarkistus  14

Ehdotus asetukseksi

Johdanto-osan 36 kappale

Komission teksti

Tarkistus

(36) Kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai kun käsittely on tarpeen yleistä etua koskevan tai julkisen vallan käyttöön liittyvän tehtävän suorittamiseksi, käsittelyllä olisi oltava oikeusperusta unionin lainsäädännössä tai sellaisessa jäsenvaltion lainsäädännössä, joka täyttää oikeuksien ja vapauksien rajoittamiselle Euroopan unionin perusoikeuskirjassa asetetut vaatimukset. Unionin oikeudessa tai kansallisessa lainsäädännössä määritetään, olisiko yleistä etua tai julkisen vallan käyttöä koskevan tehtävän suorittamisesta vastuussa olevan rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä.

(36) Kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai kun käsittely on tarpeen yleistä etua koskevan tai julkisen vallan käyttöön liittyvän tehtävän suorittamiseksi, käsittelyllä olisi oltava oikeusperusta unionin lainsäädännössä tai sellaisessa jäsenvaltion lainsäädännössä, joka täyttää oikeuksien ja vapauksien rajoittamiselle Euroopan unionin perusoikeuskirjassa asetetut vaatimukset. Tämän olisi sisällettävä myös työehtosopimukset, jotka voitaisiin kansallisessa lainsäädännössä todeta yleisesti päteviksi. Unionin oikeudessa tai kansallisessa lainsäädännössä määritetään, olisiko yleistä etua tai julkisen vallan käyttöä koskevan tehtävän suorittamisesta vastuussa olevan rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä.

Tarkistus  15

Ehdotus asetukseksi

Johdanto-osan 38 kappale

Komission teksti

Tarkistus

(38) Rekisterinpitäjän oikeutetut edut voivat muodostaa käsittelyn oikeusperustan edellyttäen, että rekisteröidyn etuja tai perusoikeuksia ja -vapauksia ei syrjäytetä. Tätä on arvioitava huolellisesti etenkin jos rekisteröity on lapsi, koska lapset tarvitsevat erityistä suojelua. Rekisteröidyllä olisi oltava oikeus vastustaa tietojensa käsittelyä tilanteeseensa liittyvien syiden vuoksi ja maksutta. Läpinäkyvyyden varmistamiseksi rekisterinpitäjällä olisi oltava velvollisuus ilmoittaa rekisteröidylle nimenomaisesti näistä oikeutetuista eduista ja rekisteröidyn oikeudesta vastustaa tietojenkäsittelyä, ja rekisterinpitäjällä olisi myös oltava velvollisuus esittää näitä oikeutettuja etuja koskevat asiakirjat. Koska on lainsäätäjän tehtävä vahvistaa lailla oikeusperusta, jonka nojalla viranomaiset voivat käsitellä tietoja, tätä oikeusperustaa ei pitäisi soveltaa tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

(38) Rekisterinpitäjän tai, kun kyse on tietojen luovuttamisesta, kolmannen osapuolen, jolle tiedot luovutetaan, oikeutetut edut voivat muodostaa käsittelyn oikeusperustan edellyttäen, että ne täyttävät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, ja että rekisteröidyn etuja tai perusoikeuksia ja -vapauksia ei syrjäytetä. Tätä on arvioitava huolellisesti etenkin jos rekisteröity on lapsi, koska lapset tarvitsevat erityistä suojelua. Salanimellä julkaistuihin tietoihin rajoittuvan käsittelyn pitäisi voida katsoa täyttävän rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, edellyttäen että rekisteröidyn etuja tai perusoikeuksia ja -vapauksia ei syrjäytetä. Rekisteröidyllä olisi oltava oikeus vastustaa tietojensa käsittelyä maksutta. Läpinäkyvyyden varmistamiseksi rekisterinpitäjällä olisi oltava velvollisuus ilmoittaa rekisteröidylle nimenomaisesti näistä oikeutetuista eduista ja rekisteröidyn oikeudesta vastustaa tietojenkäsittelyä, ja rekisterinpitäjällä olisi myös oltava velvollisuus esittää näitä oikeutettuja etuja koskevat asiakirjat. Rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, kun henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. Koska on lainsäätäjän tehtävä vahvistaa lailla oikeusperusta, jonka nojalla viranomaiset voivat käsitellä tietoja, tätä oikeusperustaa ei pitäisi soveltaa tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

Tarkistus  16

Ehdotus asetukseksi

Johdanto-osan 39 kappale

Komission teksti

Tarkistus

(39) On rekisterinpitäjän oikeutetun edun mukaista rajoittaa tietojenkäsittely siihen, mikä on ehdottoman välttämätöntä, jotta viranomaiset, tietotekniikan kriisiryhmät (Computer Emergency Response Teams, CERT), CSIRT-toimijat (tietoturvaloukkauksiin reagoiva ja niitä tutkiva yksikkö), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä varmuudella onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien tietojen ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen saatavuuden, aitouden, eheyden ja luottamuksellisuuden. Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen.

(39) On rekisterinpitäjän oikeutetun edun mukaista rajoittaa tietojenkäsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, tietotekniikan kriisiryhmät (Computer Emergency Response Teams, CERT), CSIRT-toimijat (tietoturvaloukkauksiin reagoiva ja niitä tutkiva yksikkö), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua onnettomuuksilta tai ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien tietojen ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen palvelujen saatavuuden, aitouden, eheyden ja luottamuksellisuuden. Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen. Tätä periaatetta sovelletaan myös henkilötietojen käsittelyyn julkisesti saatavilla olevien verkkojen tai tietojärjestelmien väärinkäytön rajoittamiseksi, kuten sähköisten tunnisteiden merkitseminen mustalle listalle.

 

Tarkistus  17

Ehdotus asetukseksi

Johdanto-osan 39 a kappale (uusi)

Komission teksti

Tarkistus

 

(39 a) Rekisterinpitäjän suorittama vahinkojen ehkäiseminen tai rajoittaminen olisi oletettava suoritetuksi rekisterinpitäjän oikeutetun edun toteuttamiseksi tai, kun kyse on tietojen luovuttamisesta, sen kolmannen osapuolen osalta, jolle tiedot luovutetaan, ja katsottava täyttävän rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, edellyttäen että rekisteröidyn etuja tai perusoikeuksia ja -vapauksia ei syrjäytetä. Samaa periaatetta sovelletaan myös rekisteröityyn kohdistuvien oikeusvaateiden täytäntöönpanoon, kuten velkojen perintä tai yksityishenkilöihin kohdistuvat vahingot ja oikeussuojakeinot.

Tarkistus  18

Ehdotus asetukseksi

Johdanto-osan 39 b kappale (uusi)

Komission teksti

Tarkistus

 

(39 b) Omien ja vastaavien tuotteiden ja palvelujen suoramarkkinointia tai postitse tapahtuvaa suoramarkkinointia koskeva henkilötietojen käsittely olisi oletettava suoritetuiksi rekisterinpitäjän oikeutetun edun toteuttamiseksi tai, kun kyse on tietojen luovuttamisesta, sen kolmannen osapuolen osalta, jolle tiedot luovutetaan, ja katsottava täyttävän rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, jos annetaan selvästi havaittavissa olevaa tietoa oikeudesta vastustaa ja henkilötietojen lähteestä, edellyttäen että rekisteröidyn etuja tai perusoikeuksia ja -vapauksia ei syrjäytetä. Yritysten yhteystietojen käsittely olisi yleisesti katsottava suoritetuksi rekisterinpitäjän oikeutetun edun toteuttamiseksi tai, kun kyse on tietojen luovuttamisesta, sen kolmannen osapuolen osalta, jolle tiedot luovutetaan, edellyttäen että ne täyttävät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen. Tätä olisi sovellettava myös sellaisten henkilötietojen käsittelyyn, jotka rekisteröity on nimenomaisesti saattanut julkisiksi.

Tarkistus  19

Ehdotus asetukseksi

Johdanto-osan 40 kappale

Komission teksti

Tarkistus

(40) Henkilötietojen käsittely muita tarkoituksia varten olisi sallittava vain jos käsittely on niiden tarkoitusten mukaista, joita varten tiedot on alun perin kerätty, erityisesti silloin kun käsittely on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten. Jos muu tarkoitus on ristiriidassa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin, rekisterinpitäjän olisi saatava rekisteröidyn suostumus tätä muuta tarkoitusta varten tai käsittelyn olisi perustuttava muuhun lainmukaista käsittelyä koskevaan oikeutettuun perusteeseen, erityisesti jos sellaisesta säädetään unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion laissa. Kaikissa tapauksissa olisi varmistettava, että sovelletaan tässä asetuksessa vahvistettuja periaatteita ja erityisesti periaatetta, jonka mukaan rekisteröidylle on ilmoitettava näistä muista tarkoituksista.

Poistetaan.

Tarkistus  20

Ehdotus asetukseksi

Johdanto-osan 41 kappale

Komission teksti

Tarkistus

(41) Henkilötietoja, jotka ovat perusoikeuksien tai yksityisyyden kannalta erityisen arkaluonteisia ja haavoittuvia, on suojeltava erityisen tarkasti. Tällaisia tietoja ei pitäisi käsitellä ilman rekisteröidyn nimenomaista suostumusta. Olisi kuitenkin nimenomaisesti säädettävä tätä kieltoa koskevista poikkeuksista erityisten tarpeiden vaatiessa etenkin, jos kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen.

Poistetaan.

Tarkistus  21

Ehdotus asetukseksi

Johdanto-osan 42 kappale

Komission teksti

Tarkistus

(42) Arkaluonteisten tietoryhmien käsittelykiellosta olisi voitava poiketa myös siinä tapauksessa, että poikkeaminen perustuu lakiin ja tapahtuu asianmukaisten takeiden vallitessa, jotta voidaan suojata henkilötietoja ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden ja erityisesti terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä tai historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten.

(42) Arkaluonteisten tietoryhmien käsittelykiellosta olisi voitava poiketa myös siinä tapauksessa, että poikkeaminen perustuu lakiin ja tapahtuu asianmukaisten takeiden vallitessa, jotta voidaan suojata henkilötietoja ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden ja erityisesti terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä tai historiantutkimusta, tilastollisia tai tieteellisiä tutkimustarkoituksia taikka arkistoja varten.

Tarkistus  22

Ehdotus asetukseksi

Johdanto-osan 45 kappale

Komission teksti

Tarkistus

(45) Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsiteltävien tietojen perusteella, rekisterinpitäjää ei pitäisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä. Kun rekisteröity on esittänyt tiedonsaantipyynnön, rekisterinpitäjällä olisi oltava oikeus pyytää rekisteröidyltä lisätietoja, joiden avulla rekisterinpitäjä voi löytää tämän pyytämät henkilötiedot.

(45) Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsiteltävien tietojen perusteella, rekisterinpitäjää ei pitäisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä. Kun rekisteröity on esittänyt tiedonsaantipyynnön, rekisterinpitäjällä olisi oltava oikeus pyytää rekisteröidyltä lisätietoja, joiden avulla rekisterinpitäjä voi löytää tämän pyytämät henkilötiedot. Jos rekisteröidyllä on mahdollisuus toimittaa kyseiset tiedot, rekisterinpitäjien ei pitäisi voida vedota tiedon puuttumiseen evätäkseen tiedonsaantipyynnön.

Tarkistus  23

Ehdotus asetukseksi

Johdanto-osan 47 kappale

Komission teksti

Tarkistus

(47) Olisi säädettävä yksityiskohtaisesti siitä, miten tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa, esimerkiksi siitä, miten voi pyytää maksutta pääsyä tietoihin tai tietojen oikaisemista ja poistamista sekä käyttää oikeutta vastustaa tietojenkäsittelyä. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin tietyssä määräajassa ja perustelemaan kieltäytymisensä siinä tapauksessa, että rekisteröidyn pyyntöä ei noudateta.

(47) Olisi säädettävä yksityiskohtaisesti siitä, miten tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa, esimerkiksi siitä, miten voi varmistaa maksutta pääsyn tietoihin tai tietojen oikaisemisen ja poistamisen sekä käyttää oikeutta vastustaa tietojenkäsittelyä. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin kohtuullisessa määräajassa ja perustelemaan kieltäytymisensä siinä tapauksessa, että rekisteröidyn pyyntöä ei noudateta.

Tarkistus  24

Ehdotus asetukseksi

Johdanto-osan 48 kappale

Komission teksti

Tarkistus

(48) Asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle olisi ilmoitettava erityisesti henkilötietojen käsittelystä ja sen tarkoituksista, tietojen säilytysajasta, tiedonsaantioikeudesta, oikeudesta oikaista ja poistaa tiedot sekä valitusoikeudesta. Jos tietoja kerätään rekisteröidyltä, tälle olisi lisäksi ilmoitettava, onko hänen pakko toimittaa tiedot, sekä kieltäytymisen seurauksista.

(48) Asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle olisi ilmoitettava erityisesti henkilötietojen käsittelystä ja sen tarkoituksista, tietojen todennäköisestä säilytysajasta kuhunkin tarkoitukseen, jos tietoja siirretään kolmansille osapuolille tai maille, mahdollisuudesta vastustaa, tiedonsaantioikeudesta, oikeudesta oikaista ja poistaa tiedot sekä valitusoikeudesta. Jos tietoja kerätään rekisteröidyltä, tälle olisi lisäksi ilmoitettava, onko hänen pakko toimittaa tiedot, sekä kieltäytymisen seurauksista. Tämä tieto olisi toimitettava – esimerkiksi annettava helposti käytettäväksi – rekisteröidylle sen jälkeen, kun on annettu yksinkertaistettua tietoa vakiomuotoisina kuvakkeina. Tämän olisi myös tarkoitettava, että henkilötietoja käsitellään siten, että rekisteröity voi tosiasiallisesti käyttää oikeuksiaan.

Tarkistus  25

Ehdotus asetukseksi

Johdanto-osan 50 kappale

Komission teksti

Tarkistus

(50) Tätä ei kuitenkaan tarvitse vaatia silloin kun rekisteröidyllä jo on tämä tieto tai kun lainsäädännössä nimenomaisesti säädetään tietojen tallentamisesta tai luovuttamisesta tai kun tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa. Viimeksi mainittu tilanne liittyy erityisesti tapauksiin, joissa käsittely tapahtuu historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten; tällöin voidaan ottaa huomioon rekisteröityjen määrä, tietojen ikä ja mahdollisesti hyväksytyt korvaavat toimenpiteet.

(50) Tätä ei kuitenkaan tarvitse vaatia silloin kun rekisteröity tietää jo tämän tiedon tai kun lainsäädännössä nimenomaisesti säädetään tietojen tallentamisesta tai luovuttamisesta tai kun tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa.

Tarkistus  26

Ehdotus asetukseksi

Johdanto-osan 51 kappale

Komission teksti

Tarkistus

(51) Jokaisella olisi oltava oikeus saada tietoa siitä, mitä tietoja hänestä on kerätty, sekä käyttää tätä oikeutta vaivattomasti voidakseen valvoa ja tarkistaa käsittelyn lainmukaisuuden. Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti tietojenkäsittelyn tarkoituksista, käsittelyajasta, tietojen vastaanottajista, käsiteltävien tietojen logiikasta sekä käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. Tämä oikeus ei saisi aiheuttaa vahinkoa muiden oikeuksille ja vapauksille, esimerkiksi liikesuhteiden luottamuksellisuudelle tai henkiselle omaisuudelle eikä etenkään ohjelmistojen tekijänoikeudelle. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa.

(51) Jokaisella olisi oltava oikeus saada tietoa siitä, mitä tietoja hänestä on kerätty, sekä käyttää tätä oikeutta vaivattomasti voidakseen valvoa ja tarkistaa käsittelyn lainmukaisuuden. Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti tietojenkäsittelyn tarkoituksista, arvioidusta käsittelyajasta, tietojen vastaanottajista, käsiteltävien tietojen yleisestä logiikasta sekä käsittelyn mahdollisista seurauksista. Tämä oikeus ei saisi aiheuttaa vahinkoa muiden oikeuksille ja vapauksille, esimerkiksi liikesuhteiden luottamuksellisuudelle tai henkiselle omaisuudelle, kuten ohjelmistojen tekijänoikeudelle. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa.

Tarkistus  27

Ehdotus asetukseksi

Johdanto-osan 53 kappale

Komission teksti

Tarkistus

(53) Jokaisella olisi oltava oikeus saada itseään koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus ”tulla unohdetuksi”, jos tietojen säilyttäminen ei ole tämän asetuksen säännösten mukaista. Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun tietoja ei enää tarvita niiden tarkoitusten toteuttamista varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun rekisteröity on perunut tietojenkäsittelyä koskevan suostumuksensa tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista. Tämä oikeus tulee kyseeseen erityisesti silloin kun rekisteröity on antanut suostumuksensa lapsena, jolloin hän ei ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä, ja haluaa myöhemmin poistaa tällaiset tiedot erityisesti internetistä. Tietojen säilyttäminen edelleen voitaisiin kuitenkin sallia, jos se on tarpeen historiantutkimukseen taikka tilastolliseen tai tieteelliseen tutkimukseen liittyvistä syistä, kansanterveyteen liittyvän yleisen edun vuoksi, sananvapautta koskevan oikeuden käyttöä varten, tai kun laki niin vaatii tai kun on olemassa syy rajoittaa tietojen käsittelyä sen sijaan että ne poistettaisiin.

(53) Jokaisella olisi oltava oikeus saada itseään koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus tietojen poistamiseen jos tietojen säilyttäminen ei ole tämän asetuksen säännösten mukaista. Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun tietoja ei enää tarvita niiden tarkoitusten toteuttamista varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun rekisteröity on perunut tietojenkäsittelyä koskevan suostumuksensa tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista. Tietojen säilyttäminen edelleen voitaisiin kuitenkin sallia, jos se on tarpeen historiantutkimukseen taikka tilastolliseen tai tieteelliseen tutkimukseen liittyvistä syistä, kansanterveyteen liittyvän yleisen edun vuoksi, sananvapautta koskevan oikeuden käyttöä varten, tai kun laki niin vaatii tai kun on olemassa syy rajoittaa tietojen käsittelyä sen sijaan että ne poistettaisiin. Oikeutta tietojen poistamiseen ei myöskään pitäisi soveltaa, jos henkilötietojen säilyttäminen on välttämätöntä sopimuksen täytäntöönpanemiseksi rekisteröidyn kanssa tai jos oikeudellinen velvoite edellyttää tietojen säilyttämistä.

Tarkistus  28

Ehdotus asetukseksi

Johdanto-osan 54 kappale

Komission teksti

Tarkistus

(54) Jotta voitaisiin lujittaaoikeutta tulla unohdetuksi” verkkoympäristössä, olisi laajennettava oikeutta tietojen poistamiseen niin, että tiedot julkistanut rekisterinpitäjä velvoitettaisiin ilmoittamaan tietoja käsitteleville kolmansille osapuolille rekisteröidyn pyynnöstä poistaa kyseisiin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot. Tämän ilmoituksen varmistamiseksi rekisterinpitäjän olisi toteutettava kaikki kohtuulliset, muun muassa tekniset toimenpiteet, niiden tietojen suhteen, joiden julkistamisesta rekisterinpitäjä on vastuussa. Kun henkilötiedot julkistaa kolmas osapuoli, rekisterinpitäjän olisi katsottava olevan vastuussa julkistamisesta, jos rekisterinpitäjä on valtuuttanut kolmannen osapuolen julkistamaan tiedot.

(54) Jotta voitaisiin lujittaa oikeutta tietojen poistamiseen verkkoympäristössä, olisi laajennettava oikeutta tietojen poistamiseen niin, että henkilötiedot ilman laillista perustetta julkistanut rekisterinpitäjä velvoitettaisiin toteuttamaan kaikki tarvittavat toimenpiteet tietojen poistamiseksi, myös kolmansien osapuolten toimesta, sanotun kuitenkaan rajoittamatta rekisteröidyn oikeutta vaatia korvausta.

Tarkistus  29

Ehdotus asetukseksi

Johdanto-osan 54 a kappale (uusi)

Komission teksti

Tarkistus

 

(54 a) Rekisteröidyn kiistämät tiedot, joiden paikkansapitävyyttä ei pystytä toteamaan, olisi suojattava, kunnes asia on selvitetty.

Tarkistus  30

Ehdotus asetukseksi

Johdanto-osan 55 kappale

Komission teksti

Tarkistus

(55) Jotta voitaisiin edelleen lujittaa rekisteröityjen oikeutta valvoa henkilötietojaan ja heidän tiedonsaantioikeuttaan silloin kun henkilötietoja käsitellään sähköisin keinoin, jäsennellyssä ja yleisesti käytetyssä muodossa, rekisteröidyillä olisi oltava oikeus saada jäljennös heitä koskevista tiedoista myös yleisesti käytetyssä sähköisessä muodossa. Rekisteröityjen pitäisi myös voida siirtää antamansa tiedot yhdestä automaattisesta sovelluksesta, esimerkiksi sosiaalisesta verkostosta, toiseen. Tätä olisi sovellettava silloin kun rekisteröity on antanut tiedot automaattiseen käsittelyjärjestelmään oman suostumuksensa tai sopimuksen täytäntöönpanon perusteella.

(55) Jotta voitaisiin edelleen lujittaa rekisteröityjen oikeutta valvoa henkilötietojaan ja heidän tiedonsaantioikeuttaan silloin kun henkilötietoja käsitellään sähköisin keinoin, jäsennellyssä ja yleisesti käytetyssä muodossa, rekisteröidyillä olisi oltava oikeus saada jäljennös heitä koskevista tiedoista myös yleisesti käytetyssä sähköisessä muodossa. Rekisteröityjen pitäisi myös voida siirtää antamansa tiedot yhdestä automaattisesta sovelluksesta, esimerkiksi sosiaalisesta verkostosta, toiseen. Rekisterinpitäjiä olisi kannustettava kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirtämisen. Tätä olisi sovellettava silloin kun rekisteröity on antanut tiedot automaattiseen käsittelyjärjestelmään oman suostumuksensa tai sopimuksen täytäntöönpanon perusteella. Tietoyhteiskunnan palvelujen tarjoajien ei pitäisi asettaa näiden tietojen siirtämistä palvelujensa toimittamisen edellytykseksi.

Tarkistus  31

Ehdotus asetukseksi

Johdanto-osan 56 kappale

Komission teksti

Tarkistus

(56) Vaikka henkilötietoja voitaisiin käsitellä lainmukaisesti rekisteröidyn elintärkeiden etujen suojaamiseksi tai yleisen edun, julkisen vallan käytön tai rekisterinpitäjän oikeutetun edun vuoksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa tietojensa käsittelyä. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän oikeutetut edut voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja -vapaudet.

(56) Vaikka henkilötietoja voitaisiin käsitellä lainmukaisesti rekisteröidyn elintärkeiden etujen suojaamiseksi tai yleisen edun, julkisen vallan käytön tai rekisterinpitäjän oikeutetun edun vuoksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa tietojensa käsittelyä maksutta ja tavalla, johon tämä voi vedota helposti ja tehokkaasti. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän oikeutetut edut voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja -vapaudet.

Tarkistus  32

Ehdotus asetukseksi

Johdanto-osan 57 kappale

Komission teksti

Tarkistus

(57) Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä olisi oltava oikeus vastustaa henkilötietojensa käsittelyä tällaista markkinointia varten maksutta ja tavalla, johon tämä voi vedota helposti ja tehokkaasti.

(57) Jos rekisteröidyllä on oikeus vastustaa käsittelyä, rekisterinpitäjän olisi tarjottava kyseistä mahdollisuutta nimenomaisesti ja ymmärrettävällä tavalla ja ymmärrettävässä muodossa selkeällä ja yksinkertaisella kielellä, ja se olisi selkeästi erotettava muista tiedoista.

Tarkistus  33

Ehdotus asetukseksi

Johdanto-osan 58 kappale

Komission teksti

Tarkistus

(58) Jokaisella luonnollisella henkilöllä olisi oltava oikeus olla joutumatta tietojen automaattisen käsittelyn avulla tapahtuvaan profilointiin perustuvien toimenpiteiden kohteeksi. Tällaiset toimenpiteet olisi kuitenkin sallittava, jos ne on nimenomaisesti hyväksytty laissa tai toteutettu sopimuksen tekemisen tai täytäntöönpanon yhteydessä tai kun rekisteröity on antanut niihin suostumuksensa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia takeita, joihin kuuluisivat tällaisesta käsittelystä ilmoittaminen rekisteröidylle, oikeus tietojen käsittelyyn ihmisen toimesta ja se, että tällaista toimenpidettä ei saisi kohdistaa lapseen.

(58) Jokaisella luonnollisella henkilöllä olisi oltava oikeus vastustaa profilointia, sanotun kuitenkaan rajoittamatta käsittelyn lainmukaisuutta. Profilointi, jolla on rekisteröityä koskevia oikeusvaikutuksia tai joka vaikuttaa vastaavan merkittävästi rekisteröidyn etuihin, oikeuksiin tai vapauksiin, olisi sallittava ainoastaan, jos se on nimenomaisesti hyväksytty laissa tai toteutettu sopimuksen tekemisen tai täytäntöönpanon yhteydessä tai kun rekisteröity on antanut niihin suostumuksensa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia takeita, joihin kuuluisivat tällaisesta käsittelystä ilmoittaminen rekisteröidylle, oikeus ihmisen tekemään arvioon ja se, että tällaista toimenpidettä ei saisi kohdistaa lapseen. Tällaisten toimenpiteiden seurauksena ei saisi koskaan olla rekisteröityjen syrjintä rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, seksuaalisen suuntautumisen tai sukupuoli-identiteetin perusteella.

Tarkistus  34

Ehdotus asetukseksi

Johdanto-osan 58 a kappale (uusi)

Komission teksti

Tarkistus

 

(58 a) Salanimellä julkaistuihin tietoihin rajoittuvan profiloinnin osalta olisi katsottava, ettei se vaikuta merkittävästi rekisteröidyn etuihin, oikeuksiin tai vapauksiin. Jos profilointi, joka perustuu joko yhteen salanimellä julkaistujen tietojen lähteeseen tai eri lähteistä peräisin olevien salanimellä julkaistujen tietojen kokoelmaan, mahdollistaa sen, että rekisterinpitäjä voi yhdistää salanimellä julkaistut tiedot tiettyyn rekisteröityyn, käsiteltyjä tietoja ei enää pitäisi pitää salanimellä julkaistuina.

Tarkistus  35

Ehdotus asetukseksi

Johdanto-osan 59 kappale

Komission teksti

Tarkistus

(59) Rajoituksista, jotka koskevat erityisiä periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, tiedonsaantioikeutta, oikeutta oikaista ja poistaa tietoja, oikeutta siirtää tiedot järjestelmästä toiseen, oikeutta vastustaa tietojenkäsittelyä, profilointiin perustuvia toimenpiteitä sekä henkilötietoja koskevasta tietoturvaloukkauksesta ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän velvollisuuksia, voidaan säätää unionin tai jäsenvaltion lainsäädännössä siltä osin kuin ne ovat välttämättömiä ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä yleisen turvallisuuden takaamiseksi, esimerkiksi ihmishenkien suojelemiseksi erityisesti ihmisen aiheuttaman tai luonnonkatastrofin yhteydessä taikka rikosten tai, säännellyn ammattitoiminnan yhteydessä, ammattietiikan rikkomusten torjumista, tutkimista ja syytteeseenpanoa varten tai muiden unionin tai jäsenvaltion yleistä etua koskevien syiden vuoksi, esimerkiksi unionin tai jäsenvaltion tärkeiden taloudellisten tai rahoitusta koskevien etujen vuoksi tai säänneltyjen ammattien ammattietiikkaa koskevien loukkausten vuoksi tai rekisteröidyn suojelemiseksi tai muille kuuluvien oikeuksien ja vapauksien suojelemiseksi. Näiden rajoitusten olisi oltava Euroopan unionin perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisia.

(59) Rajoituksista, jotka koskevat erityisiä periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, oikeutta oikaista ja poistaa tietoja, tiedonsaantioikeutta, oikeutta vastustaa tietojenkäsittelyä tai profilointia sekä henkilötietoja koskevasta tietoturvaloukkauksesta ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän velvollisuuksia, voidaan säätää unionin tai jäsenvaltion lainsäädännössä siltä osin kuin ne ovat välttämättömiä ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä yleisen turvallisuuden takaamiseksi, esimerkiksi ihmishenkien suojelemiseksi erityisesti ihmisen aiheuttaman tai luonnonkatastrofin yhteydessä taikka rikosten tai, säännellyn ammattitoiminnan yhteydessä, ammattietiikan rikkomusten torjumista, tutkimista ja syytteeseenpanoa varten tai muiden unionin tai jäsenvaltion erityistä ja tarkasti määriteltyä yleistä etua koskevien syiden vuoksi, esimerkiksi unionin tai jäsenvaltion tärkeiden taloudellisten tai rahoitusta koskevien etujen vuoksi tai säänneltyjen ammattien ammattietiikkaa koskevien loukkausten vuoksi tai rekisteröidyn suojelemiseksi tai muille kuuluvien oikeuksien ja vapauksien suojelemiseksi. Näiden rajoitusten olisi oltava Euroopan unionin perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisia.

Tarkistus  36

Ehdotus asetukseksi

Johdanto-osan 60 kappale

Komission teksti

Tarkistus

(60) Olisi vahvistettava rekisterinpitäjän kattava vastuu suorittamastaan tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Rekisterinpitäjän olisi erityisesti varmistettava ja kyettävä osoittamaan, että kaikki käsittelytoimet ovat tämän asetuksen mukaisia.

(60) Olisi vahvistettava rekisterinpitäjän kattava vastuu suorittamastaan tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä, erityisesti asiakirjojen, tietoturvan, vaikutustenarvioinnin, tietosuojavastaavan sekä tietosuojaviranomaisten toteuttaman valvonnan osalta. Rekisterinpitäjän olisi erityisesti varmistettava ja kyettävä osoittamaan, että kaikki käsittelytoimet ovat tämän asetuksen mukaisia. Riippumattomien sisäisten tai ulkoisten tarkastajien olisi tarkistettava tämä.

Tarkistus  37

Ehdotus asetukseksi

Johdanto-osan 61 kappale

Komission teksti

Tarkistus

(61) Rekisteröidyn oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet sekä käsittelyn suunnittelu- että toteuttamisvaiheessa, asetuksessa säädettyjen vaatimusten noudattamiseksi. Varmistaakseen ja osoittaakseen, että asetusta on noudatettu, rekisterinpitäjän olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava asianmukaiset toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita.

(61) Rekisteröidyn oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet sekä käsittelyn suunnittelu- että toteuttamisvaiheessa, asetuksessa säädettyjen vaatimusten noudattamiseksi. Varmistaakseen ja osoittaakseen, että asetusta on noudatettu, rekisterinpitäjän olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava asianmukaiset toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Sisäänrakennetun tietosuojan periaate tarkoittaa sitä, että tietosuoja kattaa tekniikan koko elinkaaren alustavasta suunnitteluvaiheesta aina lopulliseen hyödyntämis-, käyttö- ja käytöstäpoistovaiheeseen. Tähän pitäisi sisältyä myös vastuu rekisterinpitäjän tai henkilötietojen käsittelijän käyttämistä tuotteista ja palveluista. Oletusarvoisen tietosuojan periaate edellyttää, että palveluja ja tuotteita koskeva yksityisyys vastaa oletusarvoisesti tietosuojan yleisiä periaatteita, kuten tietojen minimoinnin ja käsittelytarkoituksen rajoittamisen periaatteita.

Tarkistus  38

Ehdotus asetukseksi

Johdanto-osan 62 kappale

Komission teksti

Tarkistus

(62) Rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuu esimerkiksi valvontaviranomaisten suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttää, että tässä asetuksessa säädetyt vastuualueet jaetaan selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset, edellytykset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta.

(62) Rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuu esimerkiksi valvontaviranomaisten suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttää, että tässä asetuksessa säädetyt vastuualueet jaetaan selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta. Yhteisten rekisterinpitäjien järjestelyistä olisi käytävä ilmi niiden todelliset tehtävät ja suhteet. Tämän asetuksen mukaisesti henkilötietojen käsittelyyn olisi sisällyttävä suostumus, jonka myötä rekisterinpitäjä voi siirtää tietoja yhteiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle, jotta ne käsittelevät tiedot tämän lukuun.

Tarkistus  39

Ehdotus asetukseksi

Johdanto-osan 63 kappale

Komission teksti

Tarkistus

(63) Jos unionin alueella asuvien rekisteröityjen henkilötietoja käsittelee rekisterinpitäjä, joka ei ole sijoittautunut unioniin, ja käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille tai heidän käyttäytymisensä seurantaan, rekisterinpitäjän olisi nimitettävä edustaja, paitsi jos rekisterinpitäjä on sijoittautunut kolmanteen maahan, joka tarjoaa riittävän tietosuojan tason, tai jos rekisterinpitäjä on pieni tai keskisuuri yritys tai viranomainen tai julkishallinnon elin tai jos rekisterinpitäjä tarjoaa tavaroita ja palveluja näille rekisteröidyille vain satunnaisesti. Edustajan olisi toimittava rekisterinpitäjän puolesta, ja edustajaan voivat ottaa yhteyttä kaikki valvontaviranomaiset.

(63) Jos rekisteröityjen henkilötietoja käsittelee unionissa rekisterinpitäjä, joka ei ole sijoittautunut unioniin, rekisterinpitäjän olisi nimitettävä edustaja, paitsi jos rekisterinpitäjä on sijoittautunut kolmanteen maahan, joka tarjoaa riittävän tietosuojan tason, tai jos käsittely koskee alle 5 000:ta rekisteröityä 12 kuukauden jaksolla eikä käsittely koske erityisiä tietoryhmiä taikka jos rekisterinpitäjä on viranomainen tai julkishallinnon elin tai jos rekisterinpitäjä tarjoaa tavaroita ja palveluja näille rekisteröidyille vain satunnaisesti. Edustajan olisi toimittava rekisterinpitäjän puolesta, ja edustajaan voivat ottaa yhteyttä kaikki valvontaviranomaiset.

Tarkistus  40

Ehdotus asetukseksi

Johdanto-osan 64 kappale

Komission teksti

Tarkistus

(64) Sen määrittämiseksi, tarjoaako rekisterinpitäjä tavaroita ja palveluja unionissa asuville rekisteröidyille vain satunnaisesti, olisi varmistettava, ilmeneekö rekisterinpitäjän yleisestä toiminnasta, että tavaroiden ja palvelujen tarjoaminen näille rekisteröidyille on sen pääasiallisten toimintojen aputoiminto.

(64) Sen määrittämiseksi, tarjoaako rekisterinpitäjä tavaroita ja palveluja rekisteröidyille unionissa vain satunnaisesti, olisi varmistettava, ilmeneekö rekisterinpitäjän yleisestä toiminnasta, että tavaroiden ja palvelujen tarjoaminen näille rekisteröidyille on sen pääasiallisten toimintojen aputoiminto.

Tarkistus  41

Ehdotus asetukseksi

Johdanto-osan 65 kappale

Komission teksti

Tarkistus

(65) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi dokumentoitava kaikki käsittelytoimet voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat dokumentit, jotta tietojenkäsittelytoimia voidaan seurata niiden pohjalta.

(65) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi säilytettävä tarvittavat dokumentit asetuksessa vahvistettujen vaatimusten täyttämiseksi voidakseen osoittaa noudattavansa asetusta. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat dokumentit, jotta asetuksen noudattamista voidaan arvioida niiden pohjalta. Dokumentoinnin täydentämisen ohella olisi kuitenkin painotettava yhtä lailla hyvien käytänteiden ja määräysten noudattamisen merkitystä.

Tarkistus  42

Ehdotus asetukseksi

Johdanto-osan 66 kappale

Komission teksti

Tarkistus

(66) Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi. Näiden toimenpiteiden avulla olisi voitava varmistaa asianmukainen turvallisuustaso ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Vahvistaessaan teknisiä standardeja ja organisatorisia toimenpiteitä tietojenkäsittelyn turvallisuuden varmistamiseksi komission olisi edistettävä teknologianeutraaliutta, yhteentoimivuutta ja innovointia sekä tehtävä tarvittaessa yhteistyötä kolmansien maiden kanssa.

(66) Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi. Näiden toimenpiteiden avulla olisi voitava varmistaa asianmukainen turvallisuustaso ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Vahvistettaessa teknisiä standardeja ja organisatorisia toimenpiteitä tietojenkäsittelyn turvallisuuden varmistamiseksi olisi edistettävä teknologianeutraaliutta, yhteentoimivuutta ja innovointia sekä kannustettava tarvittaessa yhteistyöhön kolmansien maiden kanssa.

Tarkistus  43

Ehdotus asetukseksi

Johdanto-osan 67 kappale

Komission teksti

Tarkistus

(67) Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua kyseessä olevalle henkilölle huomattavia taloudellisia menetyksiä ja sosiaalisia haittoja, kuten väärän henkilöllisyyden käyttöä. Sen vuoksi rekisterinpitäjän olisi ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut ilmi, ja mahdollisuuksien mukaan 24 tunnin kuluessa. Jos ilmoitusta ei voida tehdä 24 tunnin kuluessa, ilmoitukseen olisi liitettävä selvitys viivytyksen syistä. Henkilöille, joiden henkilötietoihin tietoturvaloukkaus voi vaikuttaa haitallisesti, olisi ilmoitettava asiasta ilman aiheetonta viivytystä, jotta he voivat toteuttaa tarvittavat varotoimet. Tietoturvaloukkauksen olisi katsottava vaikuttavan haitallisesti rekisteröidyn henkilötietoihin tai yksityisyyteen, jos se voi johtaa esimerkiksi henkilötietovarkauteen tai -petokseen tai jos siitä voi aiheutua fyysistä haittaa tai huomattavan vakavaa nöyryytystä tai jos se voi vahingoittaa henkilön mainetta. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen voi lieventää sen mahdollisia haittavaikutuksia. Tietoturvaloukkauksesta olisi ilmoitettava rekisteröidylle niin pian kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä valvontaviranomaisen kanssa, noudattaen valvontaviranomaisen tai esimerkiksi lainvalvontaviranomaisten antamia ohjeita. Esimerkiksi, jotta rekisteröidyillä olisi mahdollisuus lieventää välittömien haittojen riskiä, tietoturvaloukkauksesta olisi ilmoitettava heille viipymättä, kun taas tarve toteuttaa asianmukaiset toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien tietoturvaloukkausten estämiseksi voivat olla perusteena ilmoituksen lykkäämiselle.

(67) Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua kyseessä olevalle henkilölle huomattavia taloudellisia menetyksiä ja sosiaalisia haittoja, kuten väärän henkilöllisyyden käyttöä. Sen vuoksi rekisterinpitäjän olisi ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä eli enintään 72 tunnin kuluessa. Ilmoitukseen olisi tarvittaessa liitettävä selvitys viivytyksen syistä. Henkilöille, joiden henkilötietoihin tietoturvaloukkaus voi vaikuttaa haitallisesti, olisi ilmoitettava asiasta ilman aiheetonta viivytystä, jotta he voivat toteuttaa tarvittavat varotoimet. Tietoturvaloukkauksen olisi katsottava vaikuttavan haitallisesti rekisteröidyn henkilötietoihin tai yksityisyyteen, jos se voi johtaa esimerkiksi henkilötietovarkauteen tai -petokseen tai jos siitä voi aiheutua fyysistä haittaa tai huomattavan vakavaa nöyryytystä tai jos se voi vahingoittaa henkilön mainetta. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen voi lieventää sen mahdollisia haittavaikutuksia. Tietoturvaloukkauksesta olisi ilmoitettava rekisteröidylle niin pian kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä valvontaviranomaisen kanssa, noudattaen valvontaviranomaisen tai esimerkiksi lainvalvontaviranomaisten antamia ohjeita. Esimerkiksi, jotta rekisteröidyillä olisi mahdollisuus lieventää välittömien haittojen riskiä, tietoturvaloukkauksesta olisi ilmoitettava heille viipymättä, kun taas tarve toteuttaa asianmukaiset toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien tietoturvaloukkausten estämiseksi voivat olla perusteena ilmoituksen lykkäämiselle.

Tarkistus  44

Ehdotus asetukseksi

Johdanto-osan 71 a kappale (uusi)

Komission teksti

Tarkistus

 

(71 a) Vaikutustenarvioinnit ovat keskeinen osa kestäviä tietosuojajärjestelmiä, koska niillä varmistetaan, että yritykset ovat alusta lähtien tietoisia kaikista mahdollisista seurauksista, joita niiden suorittamat tietojenkäsittelytoimet voivat aiheuttaa. Jos vaikutustenarvioinnit toteutetaan perusteellisesti, voidaan merkittävästi vähentää tietoturvaloukkauksien tai yksityisyyttä loukkaavien toimien todennäköisyyttä. Tietosuojaa koskevissa vaikutustenarvioinneissa olisi sen vuoksi tarkasteltava henkilötietojen hallinnan koko elinkaarta keräämisestä käsittelyyn ja poistamiseen asti ja kuvattava yksityiskohtaisesti suunnitellut käsittelytoimet, rekisteröityjen oikeuksiin ja vapauksiin vaikuttavat riskit, toimenpiteet, joiden avulla riskeihin on tarkoitus puuttua, takeet, suojatoimenpiteet ja mekanismit, joilla varmistetaan asetuksen noudattaminen.

Tarkistus  45

Ehdotus asetukseksi

Johdanto-osan 71 b kappale (uusi)

Komission teksti

Tarkistus

 

(71 b) Rekisterinpitäjien pitäisi panostaa henkilötietojen tietosuojaan tietojen elinkaaren kaikissa vaiheissa tietojen keräämisestä käsittelyyn ja poistamiseen asti investoimalla alusta pitäen kestävään tiedonhallintakehykseen ja täydentämällä sitä kattavalla mekanismilla, jolla valvotaan säännösten noudattamista.

Tarkistus  46

Ehdotus asetukseksi

Johdanto-osan 73 kappale

Komission teksti

Tarkistus

(73) Viranomaisten tai julkishallinnon elinten olisi tehtävä tietosuojaa koskeva vaikutustenarviointi, ellei sellaista ole jo tehty, kun hyväksytään kansallista lainsäädäntöä, johon kyseisen viranomaisen tai julkishallinnon elimen tehtävien suorittaminen perustuu ja joka säätelee siihen liittyviä käsittelytoimia tai käsittelytoimien sarjoja.

Poistetaan.

Tarkistus  47

Ehdotus asetukseksi

Johdanto-osan 74 kappale

Komission teksti

Tarkistus

(74) Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelytoimiin tai tietyn uuden teknologian käyttöön liittyy runsaasti erityisiä rekisteröidyn oikeuksiin ja vapauksiin vaikuttavia riskejä, kuten rekisteröidyn jääminen ilman tiettyä oikeutta, ennen käsittelyn aloittamista olisi kuultava valvontaviranomaista tällaisesta riskialttiista käsittelystä, joka saattaa olla vastoin asetuksen säännöksiä, jotta se voi esittää ehdotuksia tilanteen korjaamiseksi. Tällainen kuuleminen olisi suoritettava myös joko kansallisen parlamentin toimenpiteen tai tällaiseen lainsäädäntötoimenpiteeseen perustuvan toimenpiteen valmistelun aikana, kun näissä toimenpiteissä määritetään käsittelyn luonne ja vahvistetaan asianmukaiset takeet.

(74) Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelytoimiin tai tietyn uuden teknologian käyttöön liittyy runsaasti erityisiä rekisteröidyn oikeuksiin ja vapauksiin vaikuttavia riskejä, kuten rekisteröidyn jääminen ilman tiettyä oikeutta, ennen käsittelyn aloittamista olisi kuultava tietosuojavastaavaa tai valvontaviranomaista tällaisesta riskialttiista käsittelystä, joka saattaa olla vastoin asetuksen säännöksiä, jotta se voi esittää ehdotuksia tilanteen korjaamiseksi. Valvontaviranomaisen kuuleminen olisi suoritettava myös joko kansallisen parlamentin toimenpiteen tai tällaiseen lainsäädäntötoimenpiteeseen perustuvan toimenpiteen valmistelun aikana, kun näissä toimenpiteissä määritetään käsittelyn luonne ja vahvistetaan asianmukaiset takeet.

Tarkistus  48

Ehdotus asetukseksi

Johdanto-osan 74 a kappale (uusi)

Komission teksti

Tarkistus

 

(74 a) Vaikutustenarvioinneista voi olla apua vain silloin, jos rekisterinpitäjät varmistavat, että ne noudattavat arvioinneissa alun perin vahvistettuja lupauksia. Rekisterinpitäjien olisi sen vuoksi arvioitava ajoittain tietosuojaa koskevien säännösten noudattamista, millä ne osoittavat, että käytössä olevat tietojenkäsittelymekanismit ovat tietoturvaa koskevassa vaikutustenarvioinnissa esitettyjenvakuutusten mukaisia. Lisäksi siinä olisi osoitettava rekisterinpitäjän kyky toimia rekisteröityjen itsenäisten valintojen mukaisesti. Jos noudattamista arvioitaessa havaitaan epäjohdonmukaisuuksia, siinä olisi myös painotettava näitä ja esitettävä suosituksia siitä, miten säännösten täysimääräinen noudattaminen voidaan saavuttaa.

Tarkistus  49

Ehdotus asetukseksi

Johdanto-osan 75 kappale

Komission teksti

Tarkistus

(75) Jos tietojenkäsittely suoritetaan julkisella sektorilla tai yksityisen sektorin suuressa yrityksessä tai sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia, rekisterinpitäjällä tai henkilötietojen käsittelijällä olisi oltava apunaan henkilö, joka valvoo tämän asetuksen noudattamista tällaisen käsittelyn yhteydessä. Tällaisen tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti, olipa hän palvelussuhteessa rekisterinpitäjään tai ei.

(75) Jos tietojenkäsittely suoritetaan julkisella sektorilla tai jos se yksityisellä sektorilla koskee yli 5 000:ta rekisteröityä 12 kuukauden jaksolla, tai sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy arkaluonteisten tietojen käsittelytoimia tai säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia, rekisterinpitäjällä tai henkilötietojen käsittelijällä olisi oltava apunaan henkilö, joka valvoo tämän asetuksen noudattamista tällaisen käsittelyn yhteydessä. Kun määritetään käsiteltävien rekisteröityjen tietojen määrää, huomioon ei pitäisi ottaa niitä arkistoituja tietoja, jotka on rajoitettu niin, että rekisterinpitäjä ei voi niitä saada normaalisti tai toteuttaa käsittelytoimia, ja joita ei voi enää muuttaa. Tällaisen tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti ja nautittava erityistä suojaa irtisanomista vastaan, olipa hän palvelussuhteessa rekisterinpitäjään tai ei, ja riippumatta siitä, suoritetaanko tehtävää kokopäiväisesti. Lopullisen vastuun olisi oltava organisaation johdolla. Tietosuojasta vastaavaa olisi konsultoitava etukäteen erityisesti henkilötietojen automaattisen käsittelyjärjestelmien suunnittelusta, hankinnasta, kehittämisestä ja käyttöönotosta sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden takaamiseksi.

 

Tarkistus  50

Ehdotus asetukseksi

Johdanto-osan 75 a kappale (uusi)

Komission teksti

Tarkistus

 

(75 a) Tietosuojavastaavalla on oltava vähintään seuraava pätevyys: tietosuojalainsäädännön sisällön ja soveltamisen perusteellinen tuntemus, tekniset ja organisatoriset toimenpiteet ja menettelyt mukaan luettuna; sisäänrakennettua ja oletusarvoista yksityisyyden suojaa sekä tietoturvaa koskevien teknisten vaatimusten hallinta; rekisterinpitäjän tai henkilötietojen käsittelijän kokoa ja käsiteltävän tiedon arkaluonteisuutta vastaava alakohtainen tietämys; kyky toteuttaa tarkastuksia ja kuulemisia, laatia asiakirjoja ja analysoida lokitiedostoja sekä kyky työskennellä työntekijöiden edustajien kanssa. Rekisterinpitäjän olisi mahdollistettava tietosuojavastaavan osallistuminen täydennyskoulutukseen työtehtävien edellyttämän erityisosaamisen ylläpitämiseksi. Nimitys tietosuojavastaavaksi ei välttämättä edellytä kyseiseltä työntekijältä kokopäivätyötä.

Tarkistus  51

Ehdotus asetukseksi

Johdanto-osan 76 kappale

Komission teksti

Tarkistus

(76) Yhdistyksiä tai muita elimiä, jotka edustavat rekisterinpitäjien ryhmiä, olisi kannustettava laatimaan käytännesääntöjä tässä asetuksessa asetetuissa rajoissa, jotta voitaisiin helpottaa tämän asetuksen soveltamista ottaen huomioon tietyillä aloilla suoritettavan käsittelyn erityispiirteet.

(76) Yhdistyksiä tai muita elimiä, jotka edustavat rekisterinpitäjien ryhmiä, olisi kannustettava laatimaan työntekijöiden edustajien kuulemisen jälkeen käytännesääntöjä tässä asetuksessa asetetuissa rajoissa, jotta voitaisiin helpottaa tämän asetuksen soveltamista ottaen huomioon tietyillä aloilla suoritettavan käsittelyn erityispiirteet. Käytännesääntöjen pitäisi helpottaa tämän asetuksen noudattamista kyseisillä aloilla.

Tarkistus  52

Ehdotus asetukseksi

Johdanto-osan 77 kappale

Komission teksti

Tarkistus

(77) Läpinäkyvyyden ja tämän asetuksen noudattamisen tehostamiseksi olisi edistettävä sertifiointimekanismien sekä tietosuojasinettien ja -merkkien käyttöönottoa, jotta rekisteröidyt voivat nopeasti arvioida asianomaisten tuotteiden ja palvelujen tietosuojan tason.

(77) Läpinäkyvyyden ja tämän asetuksen noudattamisen tehostamiseksi olisi edistettävä sertifiointimekanismien sekä tietosuojasinettien ja vakiomallisten tietosuojamerkkien käyttöönottoa, jotta rekisteröidyt voivat nopeasti, luotettavasti ja todennettavasti arvioida asianomaisten tuotteiden ja palvelujen tietosuojan tason. Unionissa olisi luotava eurooppalainen tietosuojasinetti, jonka tarkoituksena olisi lisätä rekisteröityjen luottamusta, parantaa oikeusvarmuutta rekisterinpitäjien kannalta ja samaan aikaan viedä ulkomaille eurooppalaisia tietosuojanormeja helpottamalla muiden kuin eurooppalaisten yritysten pääsyä Euroopan unionin markkinoille sertifioinnin kautta.

Tarkistus  53

Ehdotus asetukseksi

Johdanto-osan 79 kappale

Komission teksti

Tarkistus

(79) Tämä asetus ei vaikuta unionin ja kolmansien maiden välillä tehtyihin kansainvälisiin sopimuksiin, jotka koskevat henkilötietojen siirtoa, rekisteröidyille annettavat asianmukaiset takeet mukaan lukien.

(79) Tämä asetus ei vaikuta unionin ja kolmansien maiden välillä tehtyihin kansainvälisiin sopimuksiin, jotka koskevat henkilötietojen siirtoa, rekisteröidyille annettavat asianmukaiset takeet mukaan lukien, sekä varmistavat kansalaisille riittävän tasoisen perusoikeuksien suojan.

Tarkistus  54

Ehdotus asetukseksi

Johdanto-osan 80 kappale

Komission teksti

Tarkistus

(80) Komissio voi päättää koko unionin osalta, että tietyt kolmannet maat tai tietty alue tai tietojenkäsittelyn sektori jossakin kolmannessa maassa tai tietyt kansainväliset järjestöt tarjoavat riittävän tasoisen tietosuojan, jotta voidaan varmistaa oikeusvarmuus ja yhdenmukaisuus kaikkialla unionissa riittävän tietosuojan tarjoavan kolmansien maiden tai kansainvälisten järjestöjen osalta. Tällöin henkilötietoja voidaan siirtää kyseisiin maihin ilman erityistä lupaa.

(80) Komissio voi päättää koko unionin osalta, että tietyt kolmannet maat tai tietty alue tai tietojenkäsittelyn sektori jossakin kolmannessa maassa tai tietyt kansainväliset järjestöt tarjoavat riittävän tasoisen tietosuojan, jotta voidaan varmistaa oikeusvarmuus ja yhdenmukaisuus kaikkialla unionissa riittävän tietosuojan tarjoavan kolmansien maiden tai kansainvälisten järjestöjen osalta. Komissio voi myös päättää kumota tekemänsä päätöksen ilmoitettuaan asiasta ja välitettyään kattavat perustelut asianomaiselle kolmannelle maalle.

Tarkistus  55

Ehdotus asetukseksi

Johdanto-osan 82 kappale

Komission teksti

Tarkistus

(82) Komissio voi myös todeta, että jokin kolmas maa tai jokin alue tai tietojenkäsittelyn sektori kolmannessa maassa tai jokin kansainvälinen järjestö ei tarjoa riittävän tasoista tietosuojaa. Tällöin henkilötietojen siirtäminen kyseiseen maahan olisi kiellettävä. Tällaisessa tapauksessa olisi säädettävä komission ja kyseisten kolmansien maiden tai kansainvälisten järjestöjen välisistä kuulemismenettelyistä.

(82) Komissio voi myös todeta, että jokin kolmas maa tai jokin alue tai tietojenkäsittelyn sektori kolmannessa maassa tai jokin kansainvälinen järjestö ei tarjoa riittävän tasoista tietosuojaa. Lainsäädäntö, joka mahdollistaa unionin ulkopuolelta pääsyn unionissa käsiteltyihin henkilötietoihin ilman unionin tai jäsenvaltion lainsäädännön mukaista suostumusta, olisi katsottava riittämättömän tason osoitukseksi. Tällöin henkilötietojen siirtäminen kyseiseen maahan olisi kiellettävä. Tällaisessa tapauksessa olisi säädettävä komission ja kyseisten kolmansien maiden tai kansainvälisten järjestöjen välisistä kuulemismenettelyistä.

Tarkistus  56

Ehdotus asetukseksi

Johdanto-osan 83 kappale

Komission teksti

Tarkistus

(83) Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan antaa asianmukaiset takeet kolmannen maan puutteellisen tietosuojan kompensoimiseksi. Nämä asianmukaiset takeet voivat tarkoittaa, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita, tai muita soveltuvia ja oikeasuhteisia toimenpiteitä, jotka ovat perusteltuja tiedonsiirtoon tai tiedonsiirtojen sarjaan liittyvien seikkojen perusteella, edellyttäen että valvontaviranomainen hyväksyy ne.

(83) Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan antaa asianmukaiset takeet kolmannen maan puutteellisen tietosuojan kompensoimiseksi. Nämä asianmukaiset takeet voivat tarkoittaa, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita. Näissä asianmukaisissa takeissa olisi kunnioitettava rekisteröidyn oikeuksia vastaavan riittävällä tasolla kuin EU:ssa suoritettavassa tietojenkäsittelyssä, erityisesti käsittelytarkoituksen rajoittamisen, tiedonsaantioikeuden sekä oikeuden tietojen oikaisemiseen tai poistamiseen tai korvauksen saamiseen osalta. Takeilla olisi turvattava erityisesti henkilötietojen käsittelyä koskevien periaatteiden noudattaminen ja rekisteröidyn oikeudet, mahdollistettava tehokkaat muutoksenhakumekanismit, varmistettava sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden noudattaminen sekä taattava tietosuojavastaavan olemassaolo.

Tarkistus  57

Ehdotus asetukseksi

Johdanto-osan 84 kappale

Komission teksti

Tarkistus

(84) Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin tai lisäämästä muita lausekkeita, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai valvontaviranomaisen hyväksymien vakiosopimuslausekkeiden kanssa tai vaikuta rekisteröidyn perusoikeuksiin tai -vapauksiin.

(84) Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin tai lisäämästä muita lausekkeita tai lisätakeita, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa valvontaviranomaisen hyväksymien vakiosopimuslausekkeiden kanssa tai vaikuta rekisteröidyn perusoikeuksiin tai -vapauksiin. Komission hyväksymät tietosuojaa koskevat vakiolausekkeet voisivat kattaa erilaisia tilanteita, kuten unioniin sijoittautuneen rekisterinpitäjän tiedonsiirrot unionin ulkopuolelle sijoittautuneelle rekisterinpitäjälle sekä unioniin sijoittautuneen rekisterinpitäjän tiedonsiirrot unionin ulkopuolelle sijoittautuneelle henkilötietojen käsittelijälle ja myös alihankkijana toimivalle käsittelijälle. Rekisterinpitäjiä ja henkilötietojen käsittelijöitä olisi kannustettava parantamaan suojatasoa entisestään lisäämällä sopimuksiin sitoumuksia, joilla täydennetään vakiosuojalausekkeita.

Tarkistus  58

Ehdotus asetukseksi

Johdanto-osan 85 kappale

Komission teksti

Tarkistus

(85) Yritysryhmän olisi voitava soveltaa sitä koskevia hyväksyttyjä sitovia sääntöjä kansainvälisiin tiedonsiirtoihinsa unionista samaan yritysryhmään kuuluville organisaatioille, kunhan näissä sitovissa säännöissä on olennaiset periaatteet ja täytäntöönpanokelpoiset oikeudet, joiden avulla voidaan varmistaa asianmukaiset takeet tällaisia henkilötietojen siirtoja tai siirtojen sarjoja varten.

(85) Yritysryhmän olisi voitava soveltaa sitä koskevia hyväksyttyjä sitovia sääntöjä kansainvälisiin tiedonsiirtoihinsa unionista samaan yritysryhmään kuuluville organisaatioille, kunhan näissä sitovissa säännöissä on kaikki olennaiset periaatteet ja täytäntöönpanokelpoiset oikeudet, joiden avulla voidaan varmistaa asianmukaiset takeet tällaisia henkilötietojen siirtoja tai siirtojen sarjoja varten.

Tarkistus  59

Ehdotus asetukseksi

Johdanto-osan 86 kappale

Komission teksti

Tarkistus

(86) Olisi säädettävä mahdollisuudesta tehdä tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut suostumuksensa, kun siirto on tarpeen sopimuksen tai oikeudellisen vaateen nojalla, kun unionin tai jäsenvaltion lainsäädäntöön perustuvat, yleistä etua koskevat tärkeät syyt niin vaativat tai kun siirto suoritetaan lailla perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa sellaisen henkilön käyttöön, jolla on siihen oikeutettu etu. Viimeksi mainitussa tapauksessa siirto ei saisi käsittää tietoja kokonaisuudessaan tai rekisterin sisältämää kokonaista tietoryhmää, ja jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

(86) Olisi säädettävä mahdollisuudesta tehdä tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut suostumuksensa, kun siirto on tarpeen sopimuksen tai oikeudellisen vaateen nojalla, kun unionin tai jäsenvaltion lainsäädäntöön perustuvat, yleistä etua koskevat tärkeät syyt niin vaativat tai kun siirto suoritetaan lailla perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa sellaisen henkilön käyttöön, jolla on siihen oikeutettu etu. Viimeksi mainitussa tapauksessa siirto ei saisi käsittää tietoja kokonaisuudessaan tai rekisterin sisältämää kokonaista tietoryhmää, ja jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia ottaen täysimääräisesti huomioon rekisteröidyn edut ja perusoikeudet.

Tarkistus  60

Ehdotus asetukseksi

Johdanto-osan 87 kappale

Komission teksti

Tarkistus

(87) Näitä poikkeuksia olisi sovellettava erityisesti tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden vuoksi, esimerkiksi kun on kyse kansainvälisistä tiedonsiirroista kilpailuviranomaisten tai vero- tai tullihallintojen tai rahoitusalan valvontaviranomaisten tai sosiaaliturva-alan toimivaltaisten viranomaisten välillä taikka tiedonsiirroista rikosten torjumisesta, tutkimisesta, selvittämisestä ja syytteeseenpanosta vastaaville toimivaltaisille viranomaisille.

(87) Näitä poikkeuksia olisi sovellettava erityisesti tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden vuoksi, esimerkiksi kun on kyse kansainvälisistä tiedonsiirroista kilpailuviranomaisten tai vero- tai tullihallintojen tai rahoitusalan valvontaviranomaisten tai sosiaaliturva-alan tai kansanterveyden alan toimivaltaisten viranomaisten välillä taikka tiedonsiirroista rikosten torjumisesta, tutkimisesta, selvittämisestä ja syytteeseenpanosta vastaaville toimivaltaisille viranomaisille, muun muassa rahanpesun ja/tai terrorismin rahoituksen torjuntaa varten. Henkilötietojen siirtoa olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen henkilön hengen kannalta olennaisten etujen suojelemiseksi, jos rekisteröity on estynyt antamasta suostumustaan. Yleistä etua koskevien tärkeiden syiden vuoksi tehtävää tiedonsiirtoa pitäisi käyttää vain erityistilanteissa. Tiedonsiirtoon liittyvät olosuhteet olisi arvioitava kaikissa tapauksissa huolellisesti.

Tarkistus  61

Ehdotus asetukseksi

Johdanto-osan 88 kappale

Komission teksti

Tarkistus

(88) Tiedonsiirrot, joita ei voida pitää toistuvina tai laajamittaisina, voitaisiin sallia rekisterinpitäjän tai henkilötietojen käsittelijän oikeutettujen etujen toteuttamiseksi, jos nämä ovat arvioineet kaikki tällaisiin siirtoihin liittyvät olosuhteet. Historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten olisi otettava huomioon tietämyksen lisäämistä koskevat yhteiskunnan oikeutetut odotukset.

(88) Historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten olisi otettava huomioon tietämyksen lisäämistä koskevat yhteiskunnan oikeutetut odotukset.

Tarkistus  62

Ehdotus asetukseksi

Johdanto-osan 89 kappale

Komission teksti

Tarkistus

(89) Aina kun komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi käytettävä ratkaisuja, jotka antavat rekisteröidyille takeet siitä, että he voivat nauttia samoja perusoikeuksia ja takeita, joita heidän tietojensa käsittelyyn sovelletaan unionissa, myös tietojen siirtämisen jälkeen.

(89) Aina kun komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi käytettävä ratkaisuja, jotka antavat rekisteröidyille oikeudellisesti sitovat takeet siitä, että he voivat nauttia samoja perusoikeuksia ja takeita, joita heidän tietojensa käsittelyyn sovelletaan unionissa, myös tietojen siirtämisen jälkeen, siinä määrin kuin tietojenkäsittely ei ole laajamittaista, toistuvaa ja jäsenneltyä. Näihin takeisiin olisi sisällyttävä rahallinen korvaus tapauksissa, joissa on kyse tietojen menettämisestä taikka luvattomasta tietojen saannista tai käsittelystä, sekä kansallisesta lainsäädännöstä riippumaton velvoite toimittaa kaikki tiedot kaikista kolmannen maan viranomaisten mahdollisuuksista saada tietoja.

 

Tarkistus  63

Ehdotus asetukseksi

Johdanto-osan 90 kappale

Komission teksti

Tarkistus

(90) Jotkut kolmannet maat säätävät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä jäsenvaltioiden lainkäyttövallan alaisuuteen kuuluvien luonnollisten ja oikeushenkilöiden tietojenkäsittelytoimia. Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla vastoin kansainvälistä lakia ja estää tähän asetukseen perustuvan yksilöiden suojan toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion laissa tunnustetun yleistä etua koskevan tärkeän syyn vuoksi. Komission olisi täsmennettävä delegoidulla säädöksellä edellytykset, joiden täyttyessä kyseessä on yleistä etua koskeva tärkeä syy.

(90) Jotkut kolmannet maat säätävät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä jäsenvaltioiden lainkäyttövallan alaisuuteen kuuluvien luonnollisten ja oikeushenkilöiden tietojenkäsittelytoimia. Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla vastoin kansainvälistä lakia ja estää tähän asetukseen perustuvan yksilöiden suojan toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion laissa tunnustetun yleistä etua koskevan tärkeän syyn vuoksi. Komission olisi täsmennettävä delegoidulla säädöksellä edellytykset, joiden täyttyessä kyseessä on yleistä etua koskeva tärkeä syy. Jos rekisterinpitäjät tai henkilötietojen käsittelijät kohtaavat ristiriitaisia noudattamisvaatimuksia toisaalta unionin ja toisaalta kyseessä olevan kolmannen maan lainsäädännön välillä, komission olisi varmistettava, että unionin lainsäädäntöä noudatetaan aina ensisijaisesti. Komission olisi tarjottava opastusta ja tukea rekisterinpitäjälle ja henkilötietojen käsittelijälle, ja sen olisi pyrittävä ratkaisemaan oikeudenkäyttöalueisiin liittyvä ristiriita kyseessä olevan kolmannen maan kanssa.

Tarkistus  64

Ehdotus asetukseksi

Johdanto-osan 92 kappale

Komission teksti

Tarkistus

(92) Täysin riippumattomien valvontaviranomaisten perustaminen jäsenvaltioihin on keskeinen osa yksilöiden suojelua henkilötietojen käsittelyssä. Jäsenvaltiot voivat perustaa useampia kuin yhden valvontaviranomaisen oman perustuslakinsa, organisaationsa ja hallintorakenteensa mukaisesti.

(92) Täysin riippumattomien valvontaviranomaisten perustaminen jäsenvaltioihin on keskeinen osa yksilöiden suojelua henkilötietojen käsittelyssä. Jäsenvaltiot voivat perustaa useampia kuin yhden valvontaviranomaisen oman perustuslakinsa, organisaationsa ja hallintorakenteensa mukaisesti. Viranomaisella on oltava riittävät taloudelliset ja henkilöresurssit suorittaakseen tehtävänsä täysipainoisesti, kun otetaan huomioon väestömäärä ja käsiteltävien henkilötietojen määrä.

Tarkistus  65

Ehdotus asetukseksi

Johdanto-osan 94 kappale

Komission teksti

Tarkistus

(94) Kullekin valvontaviranomaiselle olisi osoitettava riittävät taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon ja yhteistyöhön muiden valvontaviranomaisten kanssa kaikkialla unionissa.

(94) Kullekin valvontaviranomaiselle olisi osoitettava riittävät taloudelliset ja henkilöresurssit, kiinnittäen erityistä huomiota henkilöstön riittävään tekniseen ja oikeudelliseen pätevyyteen, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon ja yhteistyöhön muiden valvontaviranomaisten kanssa kaikkialla unionissa.

Tarkistus  66

Ehdotus asetukseksi

Johdanto-osan 95 kappale

Komission teksti

Tarkistus

(95) Valvontaviranomaisen jäseniin sovellettavat yleiset edellytykset olisi vahvistettava kunkin jäsenvaltion lainsäädännössä. Erityisesti olisi säädettävä, että joko jäsenvaltion parlamentin tai hallituksen on nimitettävä kyseiset jäsenet. Lisäksi olisi vahvistettava jäsenten henkilökohtaista pätevyyttä ja asemaa koskevat säännöt.

(95) Valvontaviranomaisen jäseniin sovellettavat yleiset edellytykset olisi vahvistettava kunkin jäsenvaltion lainsäädännössä. Erityisesti olisi säädettävä, että jäsenvaltion parlamentin tai hallituksen on nimitettävä kyseiset jäsenet huolehdittuaan siitä, että poliittisen vaikutuksen mahdollisuus minimoidaan. Lisäksi olisi vahvistettava jäsenten henkilökohtaista pätevyyttä, eturistiriitojen torjuntaa ja asemaa koskevat säännöt.

Tarkistus  67

Ehdotus asetukseksi

Johdanto-osan 97 kappale

Komission teksti

Tarkistus

(97) Jos unioniin sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä suorittaa henkilötietojen käsittelyä useammassa kuin yhdessä jäsenvaltiossa, yhdellä valvontaviranomaisella olisi oltava toimivalta valvoa rekisterinpitäjän tai henkilötietojen käsittelijän toimintaa kaikkialla unionissa, ja tehdä sitä koskevia päätöksiä, jotta voidaan lisätä soveltamisen yhdenmukaisuutta, taata oikeusvarmuus ja vähentää tällaisten rekisterinpitäjien ja henkilötietojen käsittelijöiden hallinnollista rasitusta.

(97) Jos unioniin sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä suorittaa henkilötietojen käsittelyä useammassa kuin yhdessä jäsenvaltiossa, yhden valvontaviranomaisen olisi toimittava rekisterinpitäjän tai henkilötietojen käsittelijän yhteyspisteenä ja valvonnasta vastuussa olevana johtavana viranomaisena kaikkialla unionissa ja tehdä sitä koskevia päätöksiä, jotta voidaan lisätä soveltamisen yhdenmukaisuutta, taata oikeusvarmuus ja vähentää tällaisten rekisterinpitäjien ja henkilötietojen käsittelijöiden hallinnollista rasitusta.

Tarkistus  68

Ehdotus asetukseksi

Johdanto-osan 98 kappale

Komission teksti

Tarkistus

(98) Tällaista yhden luukun palvelua tarjoavan toimivaltaisen viranomaisen olisi oltava sen jäsenvaltion valvontaviranomainen, jossa rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikka sijaitsee.

(98) Tällaista yhden luukun palvelua tarjoavan johtavan viranomaisen olisi oltava sen jäsenvaltion valvontaviranomainen, jossa rekisterinpitäjän tai henkilötietojen käsittelijän tai tämän edustajan päätoimipaikka sijaitsee. Euroopan tietosuojaneuvosto voi tietyissä tapauksissa nimittää johtavan viranomaisen yhdenmukaisuusmekanismissa toimivaltaisen viranomaisen pyynnöstä.

Tarkistus  69

Ehdotus asetukseksi

Johdanto-osan 98 a kappale (uusi)

Komission teksti

Tarkistus

 

(98 a) Rekisteröityjen, joiden henkilötietoja käsittelee rekisterinpitäjä tai henkilötietojen käsittelijä toisessa jäsenvaltiossa, olisi voitava osoittaa valituksensa valitsemalleen valvontaviranomaiselle. Johtavan tietosuojaviranomaisen olisi koordinoitava toimensa muiden asianomaisten viranomaisten kanssa.

Tarkistus  70

Ehdotus asetukseksi

Johdanto-osan 101 kappale

Komission teksti

Tarkistus

(101) Kaikkien valvontaviranomaisten olisi käsiteltävä rekisteröityjen tekemiä valituksia ja tutkittava asia. Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi. Valvontaviranomaisen olisi ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja sen ratkaisusta kohtuullisen ajan kuluessa. Jos asiassa tarvitaan lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle.

(101) Kaikkien valvontaviranomaisten olisi käsiteltävä rekisteröityjen tai yleisen edun hyväksi toimivien yhdistysten tekemiä valituksia ja tutkittava asia. Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi. Valvontaviranomaisen olisi ilmoitettava rekisteröidylle tai yhdistykselle valituksen käsittelyn etenemisestä ja sen ratkaisusta kohtuullisen ajan kuluessa. Jos asiassa tarvitaan lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle.

Tarkistus  71

Ehdotus asetukseksi

Johdanto-osan 105 kappale

Komission teksti

Tarkistus

(105) Olisi perustettava yhdenmukaisuusmekanismi valvontaviranomaisten keskinäistä ja niiden ja komission välistä yhteistyötä varten, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen kaikkialla unionissa. Tätä mekanismia olisi sovellettava erityisesti silloin kun valvontaviranomainen aikoo toteuttaa sellaista käsittelytoimea koskevan toimenpiteen, joka liittyy tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seurantaan tai joka saattaisi merkittävästi haitata henkilötietojen vapaata liikkuvuutta. Mekanismia olisi sovellettava myös silloin kun joku valvontaviranomainen tai komissio pyytää asian käsittelyä yhdenmukaisuusmekanismin puitteissa. Tämä mekanismi ei saisi vaikuttaa toimenpiteisiin, joita komissio voi toteuttaa perussopimuksissa vahvistettujen toimivaltuuksiensa nojalla.

(105) Olisi perustettava yhdenmukaisuusmekanismi valvontaviranomaisten keskinäistä ja niiden ja komission välistä yhteistyötä varten, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen kaikkialla unionissa. Tätä mekanismia olisi sovellettava erityisesti silloin kun valvontaviranomainen aikoo toteuttaa sellaista käsittelytoimea koskevan toimenpiteen, joka liittyy tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seurantaan tai joka saattaisi merkittävästi haitata henkilötietojen vapaata liikkuvuutta. Mekanismia olisi sovellettava myös silloin kun joku valvontaviranomainen tai komissio pyytää asian käsittelyä yhdenmukaisuusmekanismin puitteissa. Lisäksi rekisteröidyillä olisi oltava oikeus vaatia yhdenmukaista käsittelyä, mikäli he katsovat, että jonkin jäsenvaltion tietosuojaviranomainen ei ole toiminut tämän vaatimuksen mukaisesti. Tämä mekanismi ei saisi vaikuttaa toimenpiteisiin, joita komissio voi toteuttaa perussopimuksissa vahvistettujen toimivaltuuksiensa nojalla.

Tarkistus       72

Ehdotus asetukseksi

Johdanto-osan 106 a kappale (uusi)

Komission teksti

Tarkistus

 

(106 a) Euroopan tietosuojaneuvosto voi yksittäisissä tapauksissa tehdä toimivaltaisia valvontaviranomaisia sitovan päätöksen, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen.

Tarkistus  73

Ehdotus asetukseksi

Johdanto-osan 107 kappale

Komission teksti

Tarkistus

(107) Komissio voi antaa kyseisestä asiasta lausunnon tai päätöksen, jossa se vaatii valvontaviranomaista keskeyttämään toimenpideluonnoksensa täytäntöönpanon, jotta voidaan varmistaa tämän asetuksen noudattaminen.

Poistetaan.

Tarkistus  74

Ehdotus asetukseksi

Johdanto-osan 110 kappale

Komission teksti

Tarkistus

(110) Unionin tasolla olisi perustettava Euroopan tietosuojaneuvosto. Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä. Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu. Komission olisi osallistuttava tietosuojaneuvoston toimintaan. Euroopan tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, mukaan lukien neuvojen antaminen komissiolle sekä valvontaviranomaisten yhteistyön tukeminen unionissa. Euroopan tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti.

(110) Unionin tasolla olisi perustettava Euroopan tietosuojaneuvosto. Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä. Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu. Euroopan tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, mukaan lukien neuvojen antaminen unionin toimielimille sekä valvontaviranomaisten yhteistyön tukeminen unionissa, mukaan lukien yhteisten operaatioiden koordinointi. Euroopan tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti. Euroopan tietosuojaneuvoston olisi tehostettava vuoropuhelua asianomaisten sidosryhmien, kuten rekisteröityjen yhdistysten, kuluttajajärjestöjen, rekisterinpitäjien ja muiden merkityksellisten sidosryhmien ja asiantuntijoiden kanssa.

Tarkistus  75

Ehdotus asetukseksi

Johdanto-osan 111 kappale

Komission teksti

Tarkistus

(111) Jokaisella rekisteröidyllä olisi oltava oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle sekä oikeus soveltaa oikeussuojakeinoja, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele valitusta tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi.

(111) Rekisteröidyllä olisi oltava oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle sekä oikeus soveltaa tehokkaita oikeussuojakeinoja perusoikeuskirjan 47 artiklan mukaisesti, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele valitusta tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi.

Tarkistus  76

Ehdotus asetukseksi

Johdanto-osan 112 kappale

Komission teksti

Tarkistus

(112) Millä tahansa jäsenvaltion lainsäädännön mukaisesti perustetulla elimellä, järjestöllä tai yhdistyksellä, jonka tarkoituksena on suojella henkilötietojen suojaamiseen liittyviä rekisteröidyn oikeuksia ja etuja, olisi oltava oikeus tehdä valitus valvontaviranomaiselle tai soveltaa oikeussuojakeinoja rekisteröidyn puolesta, tai jos kyseessä on henkilötietojen tietoturvaloukkaus, tehdä oma valitus rekisteröidyn valituksesta riippumatta.

(112) Millä tahansa jäsenvaltion lainsäädännön mukaisesti perustetulla yleisen edun hyväksi toimivalla elimellä, järjestöllä tai yhdistyksellä olisi oltava oikeus tehdä valitus valvontaviranomaiselle rekisteröidyn puolesta tämän suostumuksella tai soveltaa oikeussuojakeinoja tämän valtuutuksella, tai jos kyseessä on tämän asetuksen rikkominen, tehdä oma valitus rekisteröidyn valituksesta riippumatta.

Tarkistus                    77

Ehdotus asetukseksi

Johdanto-osan 114 kappale

Komission teksti

Tarkistus

(114) Jotta voitaisiin vahvistaa rekisteröityjen oikeussuojaa silloin kun toimivaltainen valvontaviranomainen on sijoittautunut johonkin toiseen jäsenvaltioon kuin rekisteröidyn asuinvaltioon, rekisteröity voi pyytää mitä tahansa elintä, järjestöä tai yhdistystä, jonka tarkoituksena on suojella henkilötietojen suojaamiseen liittyviä rekisteröidyn oikeuksia ja etuja, nostamaan puolestaan kanteen valvontaviranomaista vastaan toisen jäsenvaltion toimivaltaisessa tuomioistuimessa.

(114) Jotta voitaisiin vahvistaa rekisteröityjen oikeussuojaa silloin kun toimivaltainen valvontaviranomainen on sijoittautunut johonkin toiseen jäsenvaltioon kuin rekisteröidyn asuinvaltioon, rekisteröity voi valtuuttaa minkä tahansa yleisen edun hyväksi toimivan elimen, järjestön tai yhdistyksen nostamaan kanteen valvontaviranomaista vastaan toisen jäsenvaltion toimivaltaisessa tuomioistuimessa.

Tarkistus  78

Ehdotus asetukseksi

Johdanto-osan 115 kappale

Komission teksti

Tarkistus

(115) Jos toiseen jäsenvaltioon sijoittautunut toimivaltainen valvontaviranomainen ei toteuta valituksen perusteella toimenpiteitä tai ei toteuta riittäviä toimenpiteitä, rekisteröity voi pyytää asuinjäsenvaltionsa valvontaviranomaista nostamaan kanteen tuota viranomaista vastaan toisen jäsenvaltion toimivaltaisessa tuomioistuimessa. Pyynnön vastaanottanut valvontaviranomainen voi päättää, onko pyynnön perusteella asianmukaista toteuttaa toimenpiteitä vai ei, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi.

(115) Jos toiseen jäsenvaltioon sijoittautunut toimivaltainen valvontaviranomainen ei toteuta valituksen perusteella toimenpiteitä tai ei toteuta riittäviä toimenpiteitä, rekisteröity voi pyytää asuinjäsenvaltionsa valvontaviranomaista nostamaan kanteen tuota viranomaista vastaan toisen jäsenvaltion toimivaltaisessa tuomioistuimessa. Tätä ei sovelleta henkilöihin, jotka eivät asu unionissa. Pyynnön vastaanottanut valvontaviranomainen voi päättää, onko pyynnön perusteella asianmukaista toteuttaa toimenpiteitä vai ei, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi.

Tarkistus       79

Ehdotus asetukseksi

Johdanto-osan 116 kappale

Komission teksti

Tarkistus

(116) Kantajan olisi voitava valita, nostaako se kanteen rekisterinpitäjää tai henkilötietojen käsittelijää vastaan sen jäsenvaltion tuomioistuimissa, johon rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut, vai rekisteröidyn asuinjäsenvaltiossa, paitsi jos rekisterinpitäjä on viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.

(116) Kantajan olisi voitava valita, nostaako se kanteen rekisterinpitäjää tai henkilötietojen käsittelijää vastaan sen jäsenvaltion tuomioistuimissa, johon rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut, vai jos kantaja asuu unionissa, rekisteröidyn asuinjäsenvaltiossa, paitsi jos rekisterinpitäjä on unionin tai sen jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.

Tarkistus  80

Ehdotus asetukseksi

Johdanto-osan 118 kappale

Komission teksti

Tarkistus

(118) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava yksilöille lainvastaisen tietojenkäsittelyn vuoksi mahdollisesti aiheutuneet vahingot, mutta rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa korvausvelvollisuudesta, jos ne osoittavat, etteivät ole vastuussa vahingosta, ja erityisesti, jos ne osoittavat rekisteröidyn tehneen virheen tai jos kyseessä on ylivoimainen este.

(118) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava yksilöille lainvastaisen tietojenkäsittelyn vuoksi mahdollisesti aiheutuneet joko rahalliset tai muut vahingot, mutta rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa korvausvelvollisuudesta ainoastaan, jos se osoittaa, ettei ole vastuussa vahingosta, ja erityisesti, jos se osoittaa rekisteröidyn tehneen virheen tai jos kyseessä on ylivoimainen este.

 

Tarkistus  81

Ehdotus asetukseksi

Johdanto-osan 119 kappale

Komission teksti

Tarkistus

(119) Olisi säädettävä seuraamuksista julkis- tai yksityisoikeudellisille luonnollisille tai oikeushenkilöille, jotka eivät noudata tätä asetusta. Jäsenvaltioiden olisi varmistettava, että seuraamukset ovat tehokkaita, oikeasuhteisia ja varoittavia, ja toteutettava kaikki toimenpiteet seuraamusten täytäntöönpanemiseksi.

(119) Olisi säädettävä seuraamuksista julkis- tai yksityisoikeudellisille luonnollisille tai oikeushenkilöille, jotka eivät noudata tätä asetusta. Jäsenvaltioiden olisi varmistettava, että seuraamukset ovat tehokkaita, oikeasuhteisia ja varoittavia, ja toteutettava kaikki toimenpiteet seuraamusten täytäntöönpanemiseksi. Seuraamuksia koskevissa säännöissä olisi oltava asianmukaiset menettelylliset takeet unionin oikeuden yleisten periaatteiden ja perusoikeuskirjan mukaisesti, mukaan lukien oikeutta soveltaa tehokkaita oikeussuojakeinoja, oikeusturvaa ja ne bis in idem -periaatetta koskevat takeet.

Tarkistus  82

Ehdotus asetukseksi

Johdanto-osan 119 a kappale (uusi)

Komission teksti

Tarkistus

 

(119 a) Jäsenvaltioiden olisi seuraamuksia soveltaessaan kunnioitettava täysimääräisesti asianmukaisia menettelyllisiä takeita, mukaan lukien oikeutta soveltaa tehokkaita oikeussuojakeinoja, oikeusturvaa ja ne bis in idem -periaatetta koskevat takeet.

Tarkistus  83

Ehdotus asetukseksi

Johdanto-osan 121 kappale

Komission teksti

Tarkistus

(121) Ainoastaan journalistisia tarkoituksia tai taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettu henkilötietojen käsittely olisi vapautettava eräiden tämän asetuksen säännösten noudattamisesta, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan ja oikeus sananvapauteen ja erityisesti Euroopan unionin perusoikeuskirjan 11 artiklassa vahvistettu oikeus vastaanottaa ja levittää tietoja. Tätä olisi sovellettava erityisesti audiovisuaalialalla sekä uutis- ja lehtiarkistoissa tapahtuvaan henkilötietojen käsittelyyn. Jäsenvaltioiden olisi tätä varten hyväksyttävä lainsäädäntötoimia, joissa säädetään vapautuksista ja poikkeuksista näiden perusoikeuksien tasapainottamista varten. Jäsenvaltioiden olisi hyväksyttävä tällaisia vapautuksia ja poikkeuksia, jotka koskevat yleisiä periaatteita, rekisteröidyn oikeuksia, rekisterinpitäjää ja henkilötietojen käsittelijää, tiedonsiirtoja kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia sekä yhteistyötä ja johdonmukaisuutta. Jäsenvaltiot eivät kuitenkaan saisi säätää poikkeuksia muista tämän asetuksen säännöksistä. Jotta voitaisiin ottaa huomioon sananvapautta koskevan oikeuden merkitys kaikissa demokraattisissa yhteiskunnissa, tähän vapauteen liittyviä käsitteitä, kuten journalismia, on tulkittava väljästi. Tätä varten jäsenvaltioiden olisi luokiteltava toiminnot tässä asetuksessa säädettyjen vapautusten ja poikkeusten soveltamista varten ”journalistisiksi”, jos niiden tarkoituksena on esittää yleisölle tietoja, mielipiteitä tai ajatuksia, niiden levittämisessä käytettävästä välineestä riippumatta. Tällaisia toimintoja ei pitäisi rajoittaa pelkästään mediayrityksiin, ja niitä olisi voitava toteuttaa sekä voiton tavoittelemiseksi että voittoa tavoittelemattomassa tarkoituksessa.

(121) Henkilötietojen käsittelyssä olisi aina kun se on tarpeen voitava mahdollistaa vapautuksia ja poikkeuksia eräiden tämän asetuksen säännösten noudattamisesta, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan ja oikeus sananvapauteen ja erityisesti Euroopan unionin perusoikeuskirjan 11 artiklassa vahvistettu oikeus vastaanottaa ja levittää tietoja. Jäsenvaltioiden olisi tätä varten hyväksyttävä lainsäädäntötoimia, joissa säädetään vapautuksista ja poikkeuksista näiden perusoikeuksien tasapainottamista varten. Jäsenvaltioiden olisi hyväksyttävä tällaisia vapautuksia ja poikkeuksia, jotka koskevat yleisiä periaatteita, rekisteröidyn oikeuksia, rekisterinpitäjää ja henkilötietojen käsittelijää, tiedonsiirtoja kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia sekä yhteistyötä, johdonmukaisuutta ja tietojenkäsittelyyn liittyviä erityistilanteita. Jäsenvaltiot eivät kuitenkaan saisi säätää poikkeuksia muista tämän asetuksen säännöksistä. Jotta voitaisiin ottaa huomioon sananvapautta koskevan oikeuden merkitys kaikissa demokraattisissa yhteiskunnissa, tähän vapauteen liittyviä käsitteitä on tulkittava väljästi, jotta ne kattavat kaikki toimet, joilla pyritään esittää yleisölle tietoja, mielipiteitä tai ajatuksia niiden levittämisessä käytettävästä välineestä riippumatta ottaen myöskin huomioon teknisen kehityksen. Tällaisia toimintoja ei pitäisi rajoittaa pelkästään mediayrityksiin, ja niitä olisi voitava toteuttaa sekä voiton tavoittelemiseksi että voittoa tavoittelemattomassa tarkoituksessa.

Tarkistus  84

Ehdotus asetukseksi

Johdanto-osan 122 a kappale (uusi)

Komission teksti

Tarkistus

 

(122 a) Terveystietoja käsittelevän ammattihenkilön olisi saatava mahdollisuuksien mukaan käyttöönsä nimettömiä tai salanimellä julkaistuja tietoja, jolloin ainoastaan tällaista tietojen käsittelyä pyytänyt yleis- tai erikoislääkäri on tietoinen todellisesta henkilöllisyydestä.

Tarkistus  85

Ehdotus asetukseksi

Johdanto-osan 123 kappale

Komission teksti

Tarkistus

(123) Terveystietoja saattaa olla tarpeen käsitellä ilman rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista syistä. Tässä yhteydessä ’kansanterveydellä’ olisi kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista 16 päivänä joulukuuta 2008 annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1338/2008 esitetyn määritelmän mukaisesti tarkoitettava kaikkia niitä osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuoltopalvelujen tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuoltopalvelujen tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä kuolleisuuden syitä. Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten kolmansien osapuolten kuten työnantajien tai vakuutusyhtiöiden ja pankkien toimesta.

(123) Terveystietoja saattaa olla tarpeen käsitellä ilman rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista syistä. Tässä yhteydessä ’kansanterveydellä’ olisi Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1338/20081 esitetyn määritelmän mukaisesti tarkoitettava kaikkia niitä osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuoltopalvelujen tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuoltopalvelujen tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä kuolleisuuden syitä.

 

1 Euroopan parlamentin ja neuvoston asetus (EY) N:o 1338/2008, annettu 16 päivänä joulukuuta 2008, kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista (EUVL L 354, 31.12.2008, s. 70)

Tarkistus  86

Ehdotus asetukseksi

Johdanto-osan 123 a kappale (uusi)

Komission teksti

Tarkistus

 

(123 a) Terveystiedot ovat erityinen tietoryhmä. Niiden käsittely voi olla tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten. Näin ollen asetuksessa mahdollistetaan poikkeus suostumuksen vaatimisesta, jos on kyse tärkeää yleistä etua koskevasta tutkimuksesta.

Tarkistus  87

Ehdotus asetukseksi

Johdanto-osan 124 kappale

Komission teksti

Tarkistus

(124) Yksilöiden suojelua henkilötietojen käsittelyssä koskevia yleisiä periaatteita olisi sovellettava myös työsuhteen yhteydessä. Siksi jäsenvaltioiden olisi tässä asetuksessa asetetuissa rajoissa voitava antaa lainsäädännössä henkilötietojen käsittelyä työsuhteen yhteydessä koskevat erityiset säännöt, jotta voidaan säännellä työntekijöiden henkilötietojen käsittelyä työsuhteen yhteydessä.

(124) Yksilöiden suojelua henkilötietojen käsittelyssä koskevia yleisiä periaatteita olisi sovellettava myös työsuhteen ja sosiaaliturvan yhteydessä. Jäsenvaltioiden olisi voitava säännellä työntekijöiden henkilötietojen käsittelyä työsuhteen tai henkilötietojen käsittelyä sosiaaliturvan yhteydessä tässä asetuksessa esitettyjen sääntöjen ja vähimmäisnormien mukaisesti. Jos kyseisen jäsenvaltion lainsäädännössä on oikeusperusta työsuhteeseen liittyvien kysymysten sääntelemiseksi työntekijöiden edustajan ja yrityksen tai yritysryhmän määräysvaltaa käyttävän yrityksen johdon välisellä sopimuksella (työehtosopimuksella) tai Euroopan parlamentin ja neuvoston direktiivin 2009/38/EY1 nojalla, myös henkilötietojen käsittelyä työsuhteen yhteydessä voidaan säännellä tällaisella sopimuksella.

 

1 Euroopan parlamentin ja neuvoston direktiivi 2009/38/EY, annettu 6 päivänä toukokuuta 2009, eurooppalaisen yritysneuvoston perustamisesta tai työntekijöiden tiedottamis- ja kuulemismenettelyn käyttöönottamisesta yhteisönlaajuisissa yrityksissä tai yritysryhmissä (EUVL L 122, 16.5.2009, s. 28).

Tarkistus  88

Ehdotus asetukseksi

Johdanto-osan 125 a kappale (uusi)

Komission teksti

Tarkistus

 

(125 a) Henkilötietoja voivat käsitellä jälkikäteen arkistot, joiden päätehtävänä tai oikeudellisena velvoitteena on arkistotietojen kerääminen, tallentaminen, viestittäminen, hyödyntäminen ja jakaminen yleisen edun vuoksi. Jäsenvaltion lainsäädännössä on sovitettava yhteen oikeus henkilötietojen suojaan, arkistoja koskevat säännöt ja oikeus tutustua hallinnolliseen tietoon. Jäsenvaltioiden olisi edistettävä erityisesti Euroopan arkistointialan asiantuntijaryhmän avulla sellaisten sääntöjen laadintaa, joilla taataan tietojen luottamuksellisuus kolmansien osapuolten osalta sekä tietojen aitous, eheys ja asianmukainen säilyttäminen;

Tarkistus       89

Ehdotus asetukseksi

Johdanto-osan 126 kappale

Komission teksti

Tarkistus

(126) Tieteellisellä tutkimuksella olisi tämän asetuksen soveltamista varten tarkoitettava myös perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta, ja siinä olisi otettava huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 179 artiklan 1 kohdassa vahvistettu eurooppalaisen tutkimusalueen toteuttamista koskeva tavoite.

(126) Tieteellisellä tutkimuksella olisi tämän asetuksen soveltamista varten tarkoitettava myös perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta, ja siinä olisi otettava huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 179 artiklan 1 kohdassa vahvistettu eurooppalaisen tutkimusalueen toteuttamista koskeva tavoite. Tietojen käsittely historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten, paitsi jos rekisteröity on antanut suostumuksensa tai jos unionin tai jäsenvaltion lainsäädäntö mahdollistaa sen.

Tarkistus  90

Ehdotus asetukseksi

Johdanto-osan 128 kappale

Komission teksti

Tarkistus

(128) Tässä asetuksessa kunnioitetaan kirkkojen ja uskonnollisten yhdistysten tai yhdyskuntien asemaa, joka niillä on kansallisen lainsäädännön mukaisesti jäsenvaltioissa, eikä puututa siihen, kuten Euroopan unionin toiminnasta tehdyn sopimuksen 17 artiklassa todetaan. Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan kattavia sääntöjä, jotka koskevat yksilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä olisi sen vuoksi sovellettava edelleen, kunhan ne saatetaan tämän asetuksen mukaisiksi. Tällaisia kirkkoja ja uskonnollisia yhdistyksiä olisi vaadittava säätämään täysin riippumattomien valvontaviranomaisten perustamisesta.

(128) Tässä asetuksessa kunnioitetaan kirkkojen ja uskonnollisten yhdistysten tai yhdyskuntien asemaa, joka niillä on kansallisen lainsäädännön mukaisesti jäsenvaltioissa, eikä puututa siihen, kuten Euroopan unionin toiminnasta tehdyn sopimuksen 17 artiklassa todetaan. Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan asianmukaisia sääntöjä, jotka koskevat yksilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä olisi sen vuoksi sovellettava edelleen, kunhan ne saatetaan ja on tunnustettu tämän asetuksen mukaisiksi.

Tarkistus  91

Ehdotus asetukseksi

Johdanto-osan 129 kappale

Komission teksti

Tarkistus

(129) Jotta voidaan saavuttaa tämän asetuksen tavoitteet eli suojata luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan sekä varmistaa henkilötietojen vapaa liikkuvuus unionissa, komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti. Delegoituja säädöksiä olisi annettava erityisesti käsittelyn lainmukaisuudesta; lapsen suostumusta koskevien kriteerien ja edellytysten määrittämisestä; erityisten tietoryhmien käsittelystä; ilmeisen kohtuuttomia pyyntöjä ja rekisteröidyn oikeuksien käytöstä perittäviä maksuja koskevien kriteerien ja edellytysten määrittämisestä; rekisteröidylle ilmoittamista ja rekisteröidyn tiedonsaantioikeutta koskevista kriteereistä ja vaatimuksista; oikeudesta tulla unohdetuksi ja poistaa tiedot; profilointiin perustuvista toimenpiteistä; sisäänrakennettuun ja oletusarvoiseen tietosuojaan liittyvää rekisterinpitäjän vastuuta koskevista kriteereistä ja vaatimuksista; henkilötietojen käsittelijästä; käsittelyn dokumentointia ja turvallisuutta koskevista kriteereistä ja vaatimuksista; kriteereistä ja vaatimuksista sen määrittämiseksi, koska on tapahtunut henkilötietojen tietoturvaloukkaus, ja siitä ilmoittamiseksi valvontaviranomaisille, sekä olosuhteista, joissa henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia rekisteröidyille; tietosuojaa koskevan vaikutustenarvioinnin laatimista edellyttävien käsittelytoimien kriteereistä ja vaatimuksista; ennakkokuulemista edellyttävien merkittävien erityisten riskien määrittämistä koskevista kriteereistä ja vaatimuksista; tietosuojavastaavan nimittämisestä ja tehtävistä; käytännesäännöistä; sertifiointimekanismeja koskevista kriteereistä ja vaatimuksista; yritystä koskevien sitovien sääntöjen perusteella tehtävien tiedonsiirtojen kriteereistä ja vaatimuksista; tiedonsiirtoja koskevista poikkeuksista; hallinnollisista seuraamuksista; tietojen käsittelystä terveyteen liittyvien syiden vuoksi; työsuhteeseen liittyvästä käsittelystä ja historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten tehtävästä käsittelystä. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla. Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti.

(129) Jotta voidaan saavuttaa tämän asetuksen tavoitteet eli suojata luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan sekä varmistaa henkilötietojen vapaa liikkuvuus unionissa, komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti. Delegoituja säädöksiä olisi annettava erityisesti kuvakkeisiin perustuvan tietojen välittämisen vaatimusten määrittämisestä; oikeudesta poistaa tiedot; sen toteamisesta, että käytännesäännöt ovat asetuksen mukaisia; sertifiointimekanismeja koskevista kriteereistä ja vaatimuksista; kolmannen maan tai kansainvälisen järjestön antaman tietosuojan riittävyydestä; yritystä koskevien sitovien sääntöjen perusteella tehtävien tiedonsiirtojen kriteereistä ja vaatimuksista; hallinnollisista seuraamuksista; tietojen käsittelystä terveyteen liittyvien syiden vuoksi ja työsuhteen yhteydessä. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että se kuulee erityisesti Euroopan tietosuojaneuvostoa. Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti.

Tarkistus  92

Ehdotus asetukseksi

Johdanto-osan 130 kappale

Komission teksti

Tarkistus

(130) Tämän asetuksen yhdenmukaisen soveltamisen varmistamiseksi komissiolle olisi siirrettävä täytäntöönpanovaltaa, jonka nojalla se voi vahvistaa vakiolomakkeet lapsen henkilötietojen käsittelyä varten; vakiomenettelyt ja -lomakkeet rekisteröidyn oikeuksien käyttämistä varten; vakiolomakkeet rekisteröidylle ilmoittamista varten; vakiolomakkeet ja -menettelyt tiedonsaantioikeutta varten; oikeuden siirtää tiedot järjestelmästä toiseen; sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä käsittelyn dokumentointiin liittyvää rekisterinpitäjän vastuuta koskevat vakiolomakkeet; tietojenkäsittelyn turvallisuutta koskevat erityisvaatimukset; vakiolomakkeet ja -menettelyt henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi valvontaviranomaiselle ja rekisteröidylle; normit ja menettelyt tietosuojaa koskevan vaikutustenarvioinnin laatimista varten; lomakkeet ja menettelyt ennakkohyväksyntää ja -kuulemista varten; tekniset standardit ja mekanismit sertifiointia varten; kolmannen maan, kolmannessa maassa olevan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan riittävyyden; tietojen luovutuksen, jota ei hyväksytä unionin lainsäädännössä; keskinäisen avunannon; yhteiset operaatiot; yhdenmukaisuusmekanismin puitteissa tehdyt päätökset. Tätä valtaa olisi käytettävä yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä, 16 päivänä helmikuuta 2011 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 mukaisesti. Tässä yhteydessä komission olisi harkittava erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

(130) Tämän asetuksen yhdenmukaisen soveltamisen varmistamiseksi komissiolle olisi siirrettävä täytäntöönpanovaltaa, jonka nojalla se voi vahvistaa vakiolomakkeet todennettavissa olevan suostumuksen saamiseksi käytettäviä erityisiä menetelmiä lapsen henkilötietojen käsittelyä varten; vakiolomakkeet rekisteröidylle toimittamista varten heille kuuluvien oikeuksien käytöstä; vakiolomakkeet rekisteröidylle ilmoittamista varten; vakiolomakkeet tiedonsaantioikeutta varten, henkilötietojen toimittaminen rekisteröidylle mukaan luettuna, rekisterinpitäjän ja henkilötietojen käsittelijän tallentamaan dokumentointiin liittyvät vakiolomakkeet; vakiolomake henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi valvontaviranomaiselle sekä dokumentoimiseksi; lomakkeet ennakkokuulemista ja valvontaviranomaiselle ilmoittamista varten. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/20111 mukaisesti. Tässä yhteydessä komission olisi harkittava erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

 

1 Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä. Tässä yhteydessä komission olisi harkittava erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

Tarkistus  93

Ehdotus asetukseksi

Johdanto-osan 131 kappale

Komission teksti

Tarkistus

(131) Olisi käytettävä tarkastelumenettelyä, kun vahvistetaan vakiolomakkeet lapsen suostumuksen antamista varten; vakiomenettelyt ja -lomakkeet rekisteröidyn oikeuksien käyttämistä varten; vakiolomakkeet rekisteröidylle ilmoittamista varten; vakiolomakkeet ja -menettelyt tiedonsaantioikeutta varten; oikeudesta siirtää tiedot järjestelmästä toiseen; sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä käsittelyn dokumentointiin liittyvää rekisterinpitäjän vastuuta koskevat vakiolomakkeet; tietojenkäsittelyn turvallisuutta koskevat erityisvaatimukset; vakiolomakkeet ja -menettelyt henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi valvontaviranomaiselle ja rekisteröidylle; normit ja menettelyt tietosuojaa koskevan vaikutustenarvioinnin laatimista varten; lomakkeet ja menettelyt ennakkohyväksyntää ja -kuulemista varten; tekniset standardit ja mekanismit sertifiointia varten; kolmannen maan, kolmannessa maassa olevan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan riittävyyden; tietojen luovutuksen, jota ei hyväksytä unionin lainsäädännössä; keskinäisen avunannon; yhteiset operaatiot; yhdenmukaisuusmekanismin puitteissa tehdyt päätökset, koska kyseiset toimenpiteet ovat yleisluonteisia.

(131) Olisi käytettävä tarkastelumenettelyä, kun vahvistetaan vakiolomakkeet suostumuksen antamista varten: vakiolomakkeet todennettavissa olevan suostumuksen saamiseksi käytettäville erityisille menetelmille lapsen henkilötietojen käsittelyä varten; vakiolomakkeet rekisteröidylle ilmoittamista varten heille kuuluvien oikeuksien käytöstä; vakiolomakkeet rekisteröidylle ilmoittamista varten; vakiolomakkeet tiedonsaantioikeutta varten, henkilötietojen toimittaminen rekisteröidylle mukaan luettuna, rekisterinpitäjän ja henkilötietojen käsittelijän tallentamaan dokumentointiin liittyvät vakiolomakkeet; vakiolomake henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi valvontaviranomaiselle sekä dokumentoimiseksi; lomakkeet ennakkokuulemista ja valvontaviranomaiselle ilmoittamista varten, koska kyseiset toimenpiteet ovat yleisluonteisia.

Tarkistus  94

Ehdotus asetukseksi

Johdanto-osan 132 kappale

Komission teksti

Tarkistus

(132) Komission olisi hyväksyttävä välittömästi sovellettavia täytäntöönpanosäädöksiä, kun tämä on tarpeen asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa, jotka liittyvät kolmanteen maahan tai kyseisen kolmannen maan alueeseen tai tietojenkäsittelyn sektoriin tai kansainväliseen järjestöön, joka ei tarjoa riittävää tietosuojaa, tai valvontaviranomaisten yhdenmukaisuusmekanismin mukaisesti ilmoittamiin seikkoihin.

Poistetaan.

Tarkistus       95

Ehdotus asetukseksi

Johdanto-osan 134 kappale

Komission teksti

Tarkistus

(134) Direktiivi 95/46/EY olisi korvattava tällä asetuksella. Direktiiviin 95/46/EY perustuvien komission päätösten ja valvontaviranomaisten antamien ennakkohyväksyntöjen olisi kuitenkin jäätävä voimaan.

(134) Direktiivi 95/46/EY olisi korvattava tällä asetuksella. Direktiiviin 95/46/EY perustuvien komission päätösten ja valvontaviranomaisten antamien ennakkohyväksyntöjen olisi kuitenkin jäätävä voimaan. Henkilötietojen siirtämistä kolmansiin maihin 41 artiklan 8 kohdan mukaisesti koskevien komission päätösten ja valvontaviranomaisten antamien ennakkohyväksyntöjen olisi jäätävä voimaan viisivuotisen siirtymäajan ajaksi tämän asetuksen voimaantulosta, paitsi jos valvontaviranomainen muuttaa niitä tai korvaa tai kumoaa ne ennen tämän kauden päättymistä.

Tarkistus  96

Ehdotus asetukseksi

2 artikla

Komission teksti

Tarkistus

Aineellinen soveltamisala

Aineellinen soveltamisala

1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automatisoitu, sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automatisoitu käsittelytavasta riippumatta, sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

a) jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan ja joka koskee erityisesti kansallista turvallisuutta;

a) jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;

b) jota suorittavat unionin toimielimet, elimet ja laitokset;

 

c) jota suorittavat jäsenvaltiot toteuttaessaan Euroopan unionista tehdyn sopimuksen 2 luvun soveltamisalaan kuuluvaa toimintaa;

c) jota suorittavat jäsenvaltiot toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;

d) jota suorittaa luonnollinen henkilö ilman ansaitsemistarkoitusta oman, yksinomaan henkilökohtaisen tai kotitalouttaan koskevan toimintansa yhteydessä;

d) jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisen tai kotitalouttaan koskevan toimintansa yhteydessä; tämä vapautus koskee myös henkilötietojen julkistamista, jos voidaan kohtuudella olettaa, että ne ovat vain rajoitetun henkilömäärän saatavilla;

e) jota suorittavat toimivaltaiset viranomaiset rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten.

e) jota suorittavat toimivaltaiset viranomaiset rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten.

3. Tämä asetus ei vaikuta direktiivin 2000/31/EY soveltamiseen eikä etenkään sen 12–15 artiklassa vahvistettuihin sääntöihin välittäjinä toimivien palveluntarjoajien vastuusta.

3. Tämä asetus ei vaikuta direktiivin 2000/31/EY soveltamiseen eikä etenkään sen 12–15 artiklassa vahvistettuihin sääntöihin välittäjinä toimivien palveluntarjoajien vastuusta.

Tarkistus  97

Ehdotus asetukseksi

3 artikla

Komission teksti

Tarkistus

Alueellinen soveltamisala

Alueellinen soveltamisala

1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä.

1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella.

2. Tätä asetusta sovelletaan unionissa asuvia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä ei ole sijoittautunut unioniin, jos käsittely liittyy

2. Tätä asetusta sovelletaan rekisteröityjä koskevien henkilötietojen käsittelyyn unionissa, jota suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin, jos käsittely liittyy

a) tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa; tai

a) tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekisteröidyltä maksua; tai

b) näiden rekisteröityjen käyttäytymisen seurantaan.

b) näiden rekisteröityjen seurantaan.

3. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä ei ole sijoittautunut unioniin vaan paikkaan, jossa sovelletaan jonkin jäsenvaltion kansallista lakia kansainvälisen julkisoikeuden nojalla.

3. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä ei ole sijoittautunut unioniin vaan paikkaan, jossa sovelletaan jonkin jäsenvaltion kansallista lakia kansainvälisen julkisoikeuden nojalla.

Tarkistus  98

Ehdotus asetukseksi

4 artikla

Komission teksti

Tarkistus

Määritelmät

Määritelmät

Tässä asetuksessa tarkoitetaan

Tässä asetuksessa tarkoitetaan

(1) ’rekisteröidyllä’ luonnollista henkilöä, joka on tunnistettu tai tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko rekisterinpitäjä tai muu luonnollinen tai oikeushenkilö voi kohtuuden rajoissa käyttää, erityisesti henkilönumeron, sijaintitiedon, internet-tunnisteiden taikka yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella;

 

(2) ’henkilötiedoilla’ kaikkia rekisteröityä koskevia tietoja;

(2) ’henkilötiedoilla’ kaikkia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (jäljempänä 'rekisteröity') koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnisteiden, kuten nimen, henkilönumeron, sijaintitiedon, yksilöllisen tunnisteen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen, sosiaalisen tai sukupuoleen liittyvän tekijän perusteella;

 

(2 a) ’salanimellä julkaistuilla tiedoilla’ henkilötietoja, joita ei voida sinällään yhdistää rekisteröityyn käyttämättä lisätietoja, kunhan tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä sen varmistamiseksi, ettei tällaista yhdistämistä tapahdu;

 

(2 b) ’suojatuilla tiedoilla’ henkilötietoja, jotka on teknisten suojatoimenpiteiden avulla muutettu sellaiseen muotoon, että ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin;

(3) ’käsittelyllä’ kaikenlaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin tai henkilötietojen kokoelmiin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, käyttö, tietojen luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittaminen tai yhdistäminen sekä niiden poistaminen tai tuhoaminen;

(3) ’käsittelyllä’ kaikenlaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin tai henkilötietojen kokoelmiin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, käyttö, tietojen luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittaminen tai yhdistäminen sekä niiden poistaminen tai tuhoaminen;

 

(3 a) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jonka tarkoituksena on arvioida luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia tai analysoida tai ennakoida erityisesti luonnollisen henkilön työsuoritusta, taloudellista tilannetta, sijaintia, terveyttä, henkilökohtaisia mieltymyksiä, luotettavuutta tai käyttäytymistä;

(4) ’rekisteröintijärjestelmällä’ kaikkia sellaisia järjestettyjä henkilötietojen kokoelmia, joista tiedot ovat saatavilla tietyin perustein, oli kokoelma sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu;

(4) ’rekisteröintijärjestelmällä’ kaikkia sellaisia järjestettyjä henkilötietojen kokoelmia, joista tiedot ovat saatavilla tietyin perustein, oli kokoelma sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu;

(5) ’rekisterinpitäjällä’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset, edellytykset ja keinot; jos käsittelyn tarkoitukset, edellytykset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin tai jäsenvaltioiden säännösten mukaisesti;

(5) ’rekisterinpitäjällä’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin tai jäsenvaltioiden säännösten mukaisesti;

(6) ’henkilötietojen käsittelijällä’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

(6) ’henkilötietojen käsittelijällä’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

(7) ’vastaanottajalla’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle henkilötietoja luovutetaan;

(7) ’vastaanottajalla’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle henkilötietoja luovutetaan;

 

(7 a) ’kolmannella osapuolella’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää;

(8) ’rekisteröidyn suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja nimenomaista tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen;

(8) ’rekisteröidyn suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja nimenomaista tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen;

(9) ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka saanti;

(9) ’henkilötietojen tietoturvaloukkauksella’ vahingossa tapahtuvaa tai lainvastaista siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tuhoamista, häviämistä, muuttamista, luvatonta luovuttamista taikka saantia;

(10) ’geneettisillä tiedoilla’ kaikenlaisia tietoja yksilön perityistä tai sikiöaikaisen kehityksen aikana syntyneistä ominaisuuksista;

(10) ’geneettisillä tiedoilla’ kaikkia henkilötietoja, jotka liittyvät yksilön perittyihin tai synnynnäisiin ominaisuuksiin, koska ne on saatu kyseisen henkilön biologisesta näytteestä analysoimalla, erityisesti kromosomien DNA:sta tai RNA:sta tai muusta vastaavia tietoja tarjoavasta tekijästä tehdyllä analyysilla;

(11) ’biometrisillä tiedoilla’ kaikkia yksilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyviä tietoja, joiden perusteella yksilö voidaan tunnistaa, kuten kasvokuvia tai sormenjälkitietoja;

(11) ’biometrisillä tiedoilla’ kaikkia yksilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyviä henkilötietoja, joiden perusteella yksilö voidaan tunnistaa, kuten kasvokuvia tai sormenjälkitietoja;

(12) ’terveystiedoilla’ yksilön fyysiseen tai psyykkiseen terveyteen tai hänelle annettuihin terveyspalveluihin liittyviä tietoja;

(12) 'terveystiedoilla' yksilön fyysiseen tai psyykkiseen terveyteen tai hänelle annettuihin terveyspalveluihin liittyviä henkilötietoja;

(13) ’päätoimipaikalla’ unionissa sijaitsevaa rekisterinpitäjän sijoittautumispaikkaa, jossa tehdään henkilötietojen käsittelyn tarkoituksia, edellytyksiä ja keinoja koskevat tärkeimmät päätökset; jos päätöksiä henkilötietojen käsittelyn tarkoituksista, edellytyksistä ja keinoista ei tehdä unionissa, päätoimipaikka on paikka, jossa unioniin sijoittautuneen rekisterinpitäjän toimintaan liittyvät tärkeimmät käsittelytoimet suoritetaan. Henkilötietojen käsittelijän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa;

(13) ’päätoimipaikalla’ unionissa sijaitsevaa rekisterinpitäjänä tai henkilötietojen käsittelijänä toimivan yrityksen tai yritysryhmän sijoittautumispaikkaa, jossa tehdään henkilötietojen käsittelyn tarkoituksia, edellytyksiä ja keinoja koskevat tärkeimmät päätökset; asiassa voidaan harkita muun muassa seuraavia objektiivisia kriteerejä: rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan sijainti; sen yritysryhmään kuuluvan yksikön sijaintipaikka, jonka sijainti on sopivin hallinnollisten toimintojen ja tehtävien suorittamiseen sekä tässä asetuksessa vahvistettujen sääntöjen käsittelemiseen ja täytäntöönpanemiseen; se paikka, jossa toteutetaan todellisia hallinnointitoimia, joilla määritetään kiinteässä toimipaikassa tapahtuva tietojenkäsittely;

(14) ’edustajalla’ unioniin sijoittautunutta luonnollista tai oikeushenkilöä, jonka rekisterinpitäjä on nimenomaisesti nimennyt toimimaan lukuunsa ja jonka puoleen valvontaviranomaiset ja muut elimet unionissa voivat kääntyä rekisterinpitäjän sijasta, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän velvollisuuksista;

(14) ’edustajalla’ unioniin sijoittautunutta luonnollista tai oikeushenkilöä, jonka rekisterinpitäjä on nimenomaisesti nimennyt edustamaan itseään, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän velvollisuuksista;

(15) ’yrityksellä’ taloudellista toimintaa harjoittavaa yksikköä sen oikeudellisesta muodosta riippumatta, mukaan lukien erityisesti luonnolliset ja oikeushenkilöt, kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa;

(15) ’yrityksellä’ taloudellista toimintaa harjoittavaa yksikköä sen oikeudellisesta muodosta riippumatta, mukaan lukien erityisesti luonnolliset ja oikeushenkilöt, kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa;

(16) ’yritysryhmällä’ määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä;

(16) ’yritysryhmällä’ määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä;

(17) ’yritystä koskevilla sitovilla säännöillä’ henkilötietojen suojelutoimia, joita jonkin jäsenvaltion alueelle sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai useammassa kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle yritysryhmän sisällä;

(17) ’yritystä koskevilla sitovilla säännöillä’ henkilötietojen suojelutoimia, joita jonkin jäsenvaltion alueelle sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai useammassa kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle yritysryhmän sisällä;

(18) ’lapsella’ alle 18-vuotiasta henkilöä;

(18) ’lapsella’ alle 18-vuotiasta henkilöä;

(19) ’valvontaviranomaisella’ jäsenvaltion 46 artiklan mukaisesti perustamaa viranomaista.

(19) ’valvontaviranomaisella’ jäsenvaltion 46 artiklan mukaisesti perustamaa viranomaista.

Tarkistus  99

Ehdotus asetukseksi

5 artikla

Komission teksti

Tarkistus

Henkilötietojen käsittelyä koskevat periaatteet

Henkilötietojen käsittelyä koskevat periaatteet

1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a) niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi;

a) niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (lainmukaisuus, kohtuullisuus ja läpinäkyvyys);

b) ne on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla;

b) ne on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla (käsittelytarkoituksen rajoittaminen);

c) niiden on oltava asianmukaisia ja olennaisia ja niiden määrä on rajoitettava mahdollisimman vähään suhteessa niihin tarkoituksiin, joita varten niitä käsitellään; niitä saa käsitellä vain ja ainoastaan siltä osin kuin näitä tarkoituksia ei voitu täyttää käsittelemällä tietoja, joihin ei sisälly henkilötietoja;

c) niiden on oltava asianmukaisia ja olennaisia ja niiden määrä on rajoitettava mahdollisimman vähään suhteessa niihin tarkoituksiin, joita varten niitä käsitellään; niitä saa käsitellä vain ja ainoastaan siltä osin kuin näitä tarkoituksia ei voitu täyttää käsittelemällä tietoja, joihin ei sisälly henkilötietoja (tietojen minimointi);

d) niiden on oltava täsmällisiä ja päivitettyjä; on tehtävä kaikki mahdollinen sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä;

d) niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; on tehtävä kaikki mahdollinen sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä (paikkansapitävyys);

e) ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos tietoja käsitellään ainoastaan historiantutkimusta taikka tilastollisia tai tieteellisiä tarkoituksia varten 83 artiklassa vahvistettujen sääntöjen ja edellytysten mukaisesti ja jos niiden säilyttämisen tarpeellisuutta arvioidaan säännöllisesti uudelleen;

e) ne on säilytettävä muodossa, josta rekisteröity on suoraan tai epäsuorasti tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos tietoja käsitellään ainoastaan historiantutkimusta, tilastollisia tai tieteellisiä tarkoituksia taikka arkistoimista varten 83 ja 83 a artiklassa vahvistettujen sääntöjen ja edellytysten mukaisesti ja jos niiden säilyttämisen tarpeellisuutta arvioidaan säännöllisesti uudelleen ja jos toteutetaan asianmukaisia teknisiä ja organisatorisia toimia niin, että tietojen saatavuus rajataan ainoastaan näihin tarkoituksiin (säilyttämisen minimointi);

 

e a) niitä on käsiteltävä niin, että rekisteröity voi tehokkaasti käyttää oikeuksiaan (tehokkuus);

 

e b) niitä on käsiteltävä tavalla, joka suojaa luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (eheys);

f) vastuu henkilötietojen käsittelystä kuuluu rekisterinpitäjälle, jonka on varmistettava ja osoitettava jokaisen käsittelytoimen osalta, että tämän asetuksen säännöksiä on noudatettu.

f) vastuu henkilötietojen käsittelystä kuuluu rekisterinpitäjälle, jonka on varmistettava ja voitava osoittaa, että tämän asetuksen säännöksiä on noudatettu (tilivelvollisuus).

Tarkistus       100

Ehdotus asetukseksi

6 artikla

Komission teksti

Tarkistus

Käsittelyn lainmukaisuus

Käsittelyn lainmukaisuus

1. Henkilötietojen käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

1. Henkilötietojen käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistarkoitusta varten;

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistarkoitusta varten;

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d) käsittely on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi;

d) käsittely on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi;

e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;

e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;

f) käsittely on tarpeen rekisterinpitäjän oikeutetun edun toteuttamiseksi, paitsi milloin tämän edun syrjäyttävät henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja -vapaudet, erityisesti jos rekisteröity on lapsi. Tätä ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

f) käsittely on tarpeen rekisterinpitäjän tai, kun kyse on tietojen luovuttamisesta, kolmannen osapuolen, jolle tiedot luovutetaan, oikeutetun edun toteuttamiseksi edellyttäen, että ne täyttävät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, paitsi milloin tämän edun syrjäyttävät henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja -vapaudet. Tätä ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

2. Henkilötietojen käsittely, joka on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, on lainmukaista, jos 83 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan.

2. Henkilötietojen käsittely, joka on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, on lainmukaista, jos 83 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan.

3. Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perusteista on säädettävä

3. Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perusteista on säädettävä

a) unionin lainsäädännössä, tai

a) unionin lainsäädännössä, tai

b) sen jäsenvaltion laissa, jota sovelletaan rekisterinpitäjään.

b) sen jäsenvaltion laissa, jota sovelletaan rekisterinpitäjään.

Kyseisen jäsenvaltion lain on oltava yleistä etua koskevan tavoitteen mukainen tai sen on oltava tarpeen muille kuuluvien oikeuksien ja vapauksien suojaamiseksi ja noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja oltava tavoiteltuun päämäärään nähden oikeasuhteinen.

Kyseisen jäsenvaltion lain on oltava yleistä etua koskevan tavoitteen mukainen tai sen on oltava tarpeen muille kuuluvien oikeuksien ja vapauksien suojaamiseksi ja noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja oltava tavoiteltuun päämäärään nähden oikeasuhteinen. Jäsenvaltion lainsäädännössä voidaan tämän asetuksen rajoissa esittää käsittelyn lainmukaisuuden yksityiskohtia, jotka koskevat etenkin rekisterinpitäjiä, käsittelytarkoitusta ja sen rajoittamista, tietojen luonnetta ja rekisteröityjä, käsittelytoimia ja -menettelyjä, tietojen vastaanottajia sekä tietojen säilyttämisen kestoa.

4. Jos jatkokäsittelyn tarkoitus on ristiriidassa sen tarkoituksen kanssa, jota varten henkilötiedot on kerätty, käsittelyn oikeusperustana on oltava vähintään yksi 1 kohdan a–e alakohdassa tarkoitettu peruste. Tätä sovelletaan erityisesti sopimusmääräysten ja yleisten sopimusehtojen muuttamisen yhteydessä.

 

5. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan f alakohdassa tarkoitetut edellytykset eri aloja ja erilaisia tietojenkäsittelytilanteita varten, mukaan lukien lapsen henkilötietojen käsittely.

 

Tarkistus  101

Ehdotus asetukseksi

7 artikla

Komission teksti

Tarkistus

Suostumuksen edellytykset

Suostumuksen edellytykset

1. Rekisterinpitäjän on osoitettava, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn tiettyjä tarkoituksia varten.

1. Jos käsittely perustuu suostumukseen, rekisterinpitäjän on osoitettava, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn tiettyjä tarkoituksia varten.

2. Jos rekisteröidyn on annettava suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva vaatimus on esitettävä selvästi erillään näistä muista asioista.

2. Jos rekisteröidyn on annettava suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva vaatimus on esitettävä selvästi erillään näistä muista asioista. Rekisteröidyn suostumusta koskevat säännökset, jotka ovat osittain tämän asetuksia vastaisia, ovat täysin pätemättömiä.

3. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen.

3. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa muista oikeudellisista käsittelyperusteista huolimatta. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. Rekisterinpitäjä ilmoittaa rekisteröidylle, jos suostumuksen peruuttaminen johtaa tarjottujen palvelujen lopettamiseen tai suhteen päättymiseen rekisterinpitäjän kanssa.

4. Suostumus ei muodosta oikeusperustaa henkilötietojen käsittelylle, jos rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta.

4. Suostumus on sidoksissa käyttötarkoitukseen ja mitätöityy, kun tarkoitus lakkaa olemasta tai kun henkilötietojen käsittely ei ole enää tarpeellista sitä tarkoitusta varten, johon ne alun perin kerättiin. Sopimuksen täytäntöönpanon tai palvelun tarjoamisen ehdoksi ei aseteta sellaisten tietojen käsittelyä koskevaa suostumusta, jotka eivät ole välttämättömiä sopimuksen täytäntöönpanemiseksi tai palvelun tarjoamiseksi 6 artiklan 1 kohdan b alakohdassa tarkoitetulla tavalla.

Tarkistus       102

Ehdotus asetukseksi

8 artikla

Komission teksti

Tarkistus

Lapsen henkilötietojen käsittely

Lapsen henkilötietojen käsittely

1. Tätä asetusta sovellettaessa katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, alle 13-vuotiaan lapsen henkilötietojen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempi tai huoltaja on antanut siihen suostumuksen tai valtuutuksen. Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet todennettavissa olevan suostumuksen saamiseksi, käytettävissä oleva teknologia huomioon ottaen.

1. Tätä asetusta sovellettaessa katsotaan, että kun kyseessä on tuotteiden tai palvelujen tarjoaminen suoraan lapselle, alle 13-vuotiaan lapsen henkilötietojen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempi tai laillinen edustaja on antanut siihen suostumuksen tai valtuutuksen. Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tällaisen suostumuksen varmistamiseksi, käytettävissä oleva teknologia huomioon ottaen ja aiheuttamatta tarpeetonta henkilötietojen käsittelyä.

 

1 a. Lapsille, vanhemmille ja laillisille edustajille annettavat tiedot suostumuksen ilmaisemiseksi, mukaan lukien tiedot siitä, miten rekisterinpitäjä kerää ja käyttää henkilötietoja, olisi esitettävä kohderyhmälle sopivalla selkeällä kielellä.

2. Edellä oleva 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.

2. Edellä oleva 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.

3. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitettuja, todennettavissa olevan suostumuksen saamiseksi käytettäviä menetelmiä koskevat kriteerit ja vaatimukset. Tässä yhteydessä komissio harkitsee erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

3. Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa 1 kohdassa tarkoitettuun suostumuksen varmistamiseen käytettäviä menetelmiä koskevat suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan mukaisesti.

4. Komissio voi laatia vakiolomakkeet 1 kohdassa tarkoitettuja, todennettavissa olevan suostumuksen saamiseksi käytettäviä erityisiä menetelmiä varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus  103

Ehdotus asetukseksi

9 artikla

Komission teksti

Tarkistus

Erityisiä tietoryhmiä koskeva käsittely

Erityiset tietoryhmät

1. Sellaisten henkilötietojen käsittely, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista, sekä geneettisten tietojen tai terveyteen ja seksuaaliseen käyttäytymiseen tai rikostuomioihin tai niihin liittyviin turvaamistoimenpiteisiin liittyvien tietojen käsittely on kielletty.

1. Sellaisten henkilötietojen käsittely, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta, seksuaalista suuntautumista tai sukupuoli-identiteettiä tai ammattiliittoon kuulumista ja ammattiyhdistystoimintaa, sekä geneettisten tai biometristen tietojen tai terveyteen ja seksuaaliseen käyttäytymiseen, hallinnollisiin seuraamuksiin, oikeuden päätöksiin, rikoksiin tai rikosepäilyihin, tuomioihin taikka niihin liittyviin turvaamistoimenpiteisiin liittyvien tietojen käsittely on kielletty.

2. Edellä olevaa 1 kohtaa ei sovelleta, jos:

2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

a) rekisteröity on antanut suostumuksensa kyseisten henkilötietojen käsittelyyn 7 ja 8 artiklassa säädettyjen edellytysten mukaisesti, paitsi jos unionin tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella; tai

a) rekisteröity on antanut suostumuksensa kyseisten henkilötietojen käsittelyyn yhteen tai useampaan tiettyyn tarkoitukseen 7 ja 8 artiklassa säädettyjen edellytysten mukaisesti, paitsi jos unionin tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella; tai

 

a a) käsittely on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osallisena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

b) käsittely on tarpeen rekisterinpitäjän velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden alalla, siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaiset takeet; tai

b) käsittely on tarpeen rekisterinpitäjän velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden alalla, siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä taikka työehtosopimuksissa, jossa säädetään asianmukaiset takeet, joilla taataan rekisteröidyn perusoikeudet ja edut, kuten oikeus syrjimättömyyteen, edellyttäen että 82 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

c) käsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

c) käsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

d) käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin takein, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että tietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta; tai

d) käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin takein, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että tietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta; tai

e) käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi; tai

e) käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi; tai

f) käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai

f) käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai

g) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi unionin tai jäsenvaltion lainsäädännön nojalla, edellyttäen että siinä säädetään asianmukaisista toimenpiteistä rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

g) käsittely on tarpeen tärkeää yleistä etua koskevan tehtävän suorittamiseksi unionin tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhtainen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi; tai

h) terveystietojen käsittely on tarpeen terveyteen liittyvistä syistä, edellyttäen että 81 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

h) terveystietojen käsittely on tarpeen terveyteen liittyvistä syistä, edellyttäen että 81 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

i) käsittely on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, edellyttäen että 83 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

i) käsittely on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, edellyttäen että 83 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

 

i a) käsittely on tarpeen arkistoille, edellyttäen että 83 a artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

j) rikostuomioihin tai niihin liittyviin turvaamistoimiin liittyvien tietojen käsittely suoritetaan joko viranomaisen valvonnassa tai kun käsittely on tarpeen rekisterinpitäjälle laissa tai asetuksessa asetetun velvoitteen noudattamiseksi tai tärkeää yleistä etua koskevan tehtävän suorittamiseksi, ja siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista takeista. Täydellistä rikosrekisteriä saa pitää vain julkisen viranomaisen valvonnassa.

j) hallinnollisiin seuraamuksiin, oikeuden päätöksiin, rikoksiin, tuomioihin tai niihin liittyviin turvaamistoimiin liittyvien tietojen käsittely suoritetaan joko viranomaisen valvonnassa tai kun käsittely on tarpeen rekisterinpitäjälle laissa tai asetuksessa asetetun velvoitteen noudattamiseksi tai tärkeää yleistä etua koskevan tehtävän suorittamiseksi, ja siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista takeista. Rikosrekisteriä saa pitää vain julkisen viranomaisen valvonnassa.

3. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitettujen erityisten tietoryhmien käsittelyä koskevat kriteerit, edellytykset ja asianmukaiset takeet sekä 2 kohdassa säädetyt poikkeukset.

3. Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa 1 kohdassa tarkoitettujen erityisten tietoryhmien käsittelyä koskevat suuntaviivat, suositukset ja parhaat käytännöt sekä 2 kohdassa säädetyt poikkeukset 66 artiklan mukaisesti.

Tarkistus       104

Ehdotus asetukseksi

10 artikla

Komission teksti

Tarkistus

Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsiteltävien tietojen perusteella, rekisterinpitäjällä ei ole velvollisuutta hankkia lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä.

1. Jos rekisterinpitäjä tai henkilötietojen käsittelijä ei pysty tunnistamaan tai yksilöimään luonnollista henkilöä käsiteltävien tietojen perusteella suoraan tai epäsuorasti tai kaikki tiedot ovat salanimellä julkaistuja, rekisterinpitäjä ei käsittele tai hanki lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä.

 

2. Jos rekisterinpitäjä ei pysty noudattamaan tämän asetuksen säännöksiä 1 kohdan takia, rekisterinpitäjällä ei ole velvollisuutta noudattaa tämän asetuksen kyseistä säännöstä. Jos rekisterinpitäjä ei tästä syystä pysty noudattamaan rekisteröidyn pyyntöä, tämän on ilmoitettava asiasta rekisteröidylle.

Tarkistus  105

Ehdotus asetukseksi

10 a artikla (uusi)

Komission teksti

Tarkistus

 

10 a artikla

 

Rekisteröidyn oikeuksia koskevat yleisperiaatteet

 

1. Tietosuoja perustuu selkeisiin ja yksiselitteisiin rekisteröidyn oikeuksiin, joita rekisterinpitäjän on kunnioitettava. Tämän asetuksen säännöksillä pyritään vahvistamaan, selventämään, takaamaan ja tarvittaessa kodifioimaan näitä oikeuksia.

 

2. Näitä oikeuksia ovat muun muassa oikeus saada selkeässä ja helposti ymmärrettävässä muodossa tietoja henkilötietojensa käsittelystä, oikeus tarkastella, oikaista ja poistaa henkilökohtaisia tietojaan, oikeus saada tietoja, oikeus vastustaa profilointia, oikeus tehdä valitus toimivaltaiselle tietosuojaviranomaiselle, oikeus käynnistää oikeustoimet sekä oikeus saada korvaus lainvastaisesta käsittelystä. Näitä oikeuksia on voitava yleisesti toteuttaa maksutta. Rekisterinpitäjän on vastattava rekisteröidyn pyyntöihin kohtuullisessa ajassa.

Tarkistus  106

Ehdotus asetukseksi

11 artikla

Komission teksti

Tarkistus

1. Rekisterinpitäjällä on oltava henkilötietojen käsittelyä ja rekisteröidyn oikeuksien käyttöä varten läpinäkyvät ja helposti saatavilla olevat toimintatavat.

1. Rekisterinpitäjällä on oltava henkilötietojen käsittelyä ja rekisteröidyn oikeuksien käyttöä varten tiiviisti esitetyt, läpinäkyvät, selkeät ja helposti saatavilla olevat toimintatavat.

2. Rekisterinpitäjän on toimitettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot ja viestit helposti ymmärrettävässä muodossa sekä selkeällä ja yksinkertaisella kielellä, jossa otetaan huomioon rekisteröidyn tarpeet, etenkin kun tiedot on suunnattu erityisesti lapselle.

2. Rekisterinpitäjän on toimitettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot ja viestit helposti ymmärrettävässä muodossa sekä selkeällä ja yksinkertaisella kielellä, etenkin kun tiedot on suunnattu erityisesti lapselle.

Tarkistus  107

Ehdotus asetukseksi

12 artikla

Komission teksti

Tarkistus

1. Rekisterinpitäjän on vahvistettava menettelyt 14 artiklassa tarkoitettujen tietojen toimittamista sekä 13 artiklassa ja 15–19 artiklassa tarkoitettujen rekisteröidyn oikeuksien käyttämistä varten. Rekisterinpitäjän on laadittava erityisesti mekanismit, joiden avulla helpotetaan 13 artiklassa ja 15–19 artiklassa tarkoitettujen toimien pyytämistä. Jos henkilötietojen käsittely on automatisoitu, rekisterinpitäjän on tarjottava keinot esittää tällaiset pyynnöt sähköisesti.

1. Jos henkilötietojen käsittely on automatisoitu, rekisterinpitäjän on tarjottava keinot esittää tällaiset pyynnöt mahdollisuuksien mukaan sähköisesti.

2. Rekisterinpitäjän on ilmoitettava rekisteröidylle viipymättä ja viimeistään kuukauden kuluttua pyynnön esittämisestä, onko 13 artiklan ja 15–19 artiklan nojalla toteutettu toimenpiteitä, ja toimitettava pyydetyt tiedot. Tätä määräaikaa voidaan pidentää kuukaudella, jos useat rekisteröidyt käyttävät oikeuksiaan ja heidän on tehtävä kohtuullisessa määrin yhteistyötä, jotta voidaan välttää rekisterinpitäjän tarpeeton ja suhteeton rasittaminen. Tiedot on annettava kirjallisesti. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti, paitsi jos rekisteröity toisin pyytää.

2. Rekisterinpitäjän on ilmoitettava rekisteröidylle ilman aiheetonta viivytystä ja viimeistään 40 kalenteripäivän kuluttua pyynnön esittämisestä, onko 13 artiklan ja 15–19 artiklan nojalla toteutettu toimenpiteitä, ja toimitettava pyydetyt tiedot. Tätä määräaikaa voidaan pidentää kuukaudella, jos useat rekisteröidyt käyttävät oikeuksiaan ja heidän on tehtävä kohtuullisessa määrin yhteistyötä, jotta voidaan välttää rekisterinpitäjän tarpeeton ja suhteeton rasittaminen. Tiedot on annettava kirjallisesti ja, mikäli mahdollista, rekisterinpitäjä voi tarjota etäpääsyn suojattuun järjestelmään, jossa rekisteröidyt saavat henkilötietonsa suoraan käyttöönsä. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

3. Jos rekisterinpitäjä kieltäytyy toteuttamasta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava rekisteröidylle kieltäytymisen syyt ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

3. Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava rekisteröidylle toteuttamatta jättämisen syyt ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

4. Edellä 1 kohdassa tarkoitetut tiedot ja pyyntöjen perusteella toteutettavat toimet ovat maksuttomia. Jos pyynnöt ovat ilmeisen kohtuuttomia ja etenkin jos pyyntöjä esitetään toistuvasti, rekisterinpitäjä voi periä maksun tietojen toimittamisesta tai pyydetyn toimen suorittamisesta tai jättää pyydetyn toimen suorittamatta. Siinä tapauksessa rekisterinpitäjän on todistettava pyyntöjen kohtuuttomuus.

4. Edellä 1 kohdassa tarkoitetut tiedot ja pyyntöjen perusteella toteutettavat toimet ovat maksuttomia. Jos pyynnöt ovat ilmeisen kohtuuttomia ja etenkin jos pyyntöjä esitetään toistuvasti, rekisterinpitäjä voi periä kohtuullisen maksun ottaen huomioon tietojen toimittamisesta tai pyydetyn toimen suorittamisesta aiheutuneet hallinnolliset kustannukset. Siinä tapauksessa rekisterinpitäjän on todistettava pyyntöjen kohtuuttomuus.

5. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 4 kohdassa tarkoitettuja ilmeisen kohtuuttomia pyyntöjä ja maksuja koskevat kriteerit ja edellytykset.

 

6. Komissio voi laatia vakiolomakkeet ja -menettelyt 2 kohdassa tarkoitettua viestintää varten, myös silloin kun se tapahtuu sähköisesti. Tässä yhteydessä komissio toteuttaa tarvittavat toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus       108

Ehdotus asetukseksi

13 artikla

Komission teksti

Tarkistus

Tietojen vastaanottajien oikeudet

Oikaisuja ja poistoja koskeva ilmoitusvelvollisuus

Rekisterinpitäjän on ilmoitettava kaikenlaisista 16 ja 17 artiklan mukaisesti tehdyistä oikaisuista tai poistoista jokaiselle vastaanottajalle, jolle tietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa.

Rekisterinpitäjän on ilmoitettava kaikenlaisista 16 ja 17 artiklan mukaisesti tehdyistä oikaisuista tai poistoista jokaiselle vastaanottajalle, jolle tietoja on siirretty, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity pyytää sitä.

Tarkistus  109

Ehdotus asetukseksi

13 a artikla (uusi)

Komission teksti

Tarkistus

 

13 a artikla

 

Yhdenmukaistettu tiedotuspolitiikka

 

1. Rekisteröityä koskevia henkilötietoja kerättäessä rekisterinpitäjän on toimitettava rekisteröidylle seuraavat yksityiskohtaiset tiedot ennen tietojen antamista 14 artiklan mukaisesti:

 

a) kerätäänkö henkilötietoja suurempia määriä kuin on välttämätöntä käsittelyn tietyn käsittelytarkoituksen toteuttamiseksi,

 

b) säilytetäänkö henkilötietoja kauemmin kuin on välttämätöntä käsittelyn jokaisen tarkoituksen toteuttamiseksi,

 

c) käsitelläänkö henkilötietoja muita kuin niitä tarkoituksia varten, joita varten ne kerättiin,

d) jaetaanko henkilötietoja kaupallisille yrityksille,

 

e) myydäänkö tai vuokrataanko henkilötietoja,

 

f) säilytetäänkö henkilötietoja suojatussa muodossa.

 

2. Edellä 1 kohdassa tarkoitetut yksityiskohtaiset tiedot esitetään liitteen X mukaisesti riveihin järjestetyssä taulukkomuodossa käyttäen tekstiä ja symboleja seuraavissa kolmessa sarakkeessa:

 

a) ensimmäisessä sarakkeessa esitetään näitä tietoja symboloivia graafisia muotoja,

 

b) toisessa sarakkeessa annetaan näitä tietoja koskevaa olennaista tietoa,

 

c) kolmannessa sarakkeessa esitetään graafisia muotoja, joista ilmenee, onko tietty yksityiskohta täytetty.

 

3. Edellä 1 ja 2 kohdassa tarkoitetut tiedot on esitettävä helposti erottuvalla ja selvästi luettavissa olevalla tavalla käyttäen kieltä, joka on helposti ymmärrettävissä niiden jäsenvaltioiden kuluttajien kannalta, joille tieto on tarkoitettu. Jos tiedot esitetään sähköisesti, niiden on oltava koneellisesti luettavia.

 

4. Muita yksityiskohtaisia tietoja ei esitetä. Edellä 1 kohdassa tarkoitettuja yksityiskohtaisia tietoja koskevia tarkkoja selvityksiä tai lisähuomautuksia voidaan antaa muiden 14 artiklan mukaisten tietovaatimuksien yhteydessä.

 

5. Siirretään komissiolle valta antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitetut yksityiskohtaiset tiedot ja niiden esittäminen, jotka on määritelty 2 kohdassa ja liitteessä 1.

Tarkistus  110

Ehdotus asetukseksi

14 artikla

Komission teksti

Tarkistus

Rekisteröidylle ilmoittaminen

Rekisteröidylle ilmoittaminen

1. Rekisteröityä koskevia henkilötietoja kerättäessä rekisterinpitäjän on toimitettava rekisteröidylle ainakin seuraavat tiedot:

1. Rekisteröityä koskevia henkilötietoja kerättäessä rekisterinpitäjän on toimitettava rekisteröidylle ainakin seuraavat tiedot, kun 13 a artiklan mukaiset yksityiskohtaiset tiedot on annettu:

a) rekisterinpitäjän ja tämän mahdollisen edustajan sekä tietosuojavastaavan henkilöllisyys ja yhteystiedot;

a) rekisterinpitäjän ja tämän mahdollisen edustajan sekä tietosuojavastaavan henkilöllisyys ja yhteystiedot;

b) henkilötietojen käsittelyn tarkoitukset, mukaan lukien sopimusmääräykset ja yleiset sopimusehdot, jos käsittely perustuu 6 artiklan 1 kohdan b alakohtaan, ja rekisterinpitäjän oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;

b) henkilötietojen käsittelyn tarkoitukset sekä tietoa henkilötietojen käsittelyn turvallisuudesta, mukaan lukien sopimusmääräykset ja yleiset sopimusehdot, jos käsittely perustuu 6 artiklan 1 kohdan b alakohtaan, ja tarvittaessa tiedot, miten niissä pannaan täytäntöön 6 artiklan 1 kohdan f alakohdan vaatimuksia ja miten vaatimukset täyttyvät;

c) henkilötietojen säilytysaika;

c) henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

d) rekisteröidyn oikeus pyytää häntä itseään koskevia henkilötietoja rekisterinpitäjältä sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista tai vastustaa niiden käsittelyä;

d) rekisteröidyn oikeus pyytää häntä itseään koskevia henkilötietoja rekisterinpitäjältä sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista tai vastustaa niiden käsittelyä taikka saada tietoja;

e) tieto siitä, että rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, ja viranomaisen yhteystiedot;

e) tieto siitä, että rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, ja viranomaisen yhteystiedot;

f) henkilötietojen vastaanottajat tai vastaanottajaryhmät;

f) henkilötietojen vastaanottajat tai vastaanottajaryhmät;

g) tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää tietoja kolmanteen maahan tai kansainväliselle järjestölle, ja kyseisen kolmannen maan tai kansainvälisen järjestön tarjoaman tietosuojan taso tietosuojan riittävyyttä koskevan komission päätöksen perusteella;

g) tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää tietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 42 artiklassa, 43 artiklassa tai 44 artiklan 1 kohdan h alakohdassa tarkoitettu siirto, tieto asianmukaisista takeista ja siitä, miten niistä saa jäljennöksen;

 

g a) tarvittaessa tieto profiloinnista, profilointiin perustuvista toimenpiteistä ja arvio profiloinnin vaikutuksista rekisteröityyn;

 

g b) merkitykselliset tiedot mihin tahansa automatisoituun käsittelyjärjestelmään liittyvästä logiikasta;

h) muut tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi, ottaen huomioon henkilötietojen keräämisen erityiset olosuhteet.

h) muut tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi, ottaen huomioon henkilötietojen keräämisen tai käsittelyn erityiset olosuhteet ja erityisesti sellaisten käsittelytoimien olemassaolo, jotka on osoitettu potentiaalisesti erittäin riskialttiiksi henkilötietoja koskevissa vaikutustenarvioinneissa;

 

h a) tarvittaessa tieto siitä, onko henkilötietoja toimitettu viranomaisille edeltävän 12 kuukauden ajanjakson aikana.

2. Jos henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle 1 kohdassa tarkoitettujen tietojen lisäksi, onko henkilötietojen antaminen pakollista vai vapaaehtoista, sekä tietojen antamatta jättämisen mahdolliset seuraukset.

2. Jos henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle 1 kohdassa tarkoitettujen tietojen lisäksi, onko henkilötietojen antaminen pakollista vai vapaaehtoista, sekä tietojen antamatta jättämisen mahdolliset seuraukset.

 

2 a. Rekisterinpitäjien on otettava huomioon kaikki asiaankuuluvat ohjeet 38 artiklan mukaisesti, kun ne päättävät lisätiedoista, joita tarvitaan, jotta käsitteleminen olisi asianmukaista 1 kohdan h alakohdan mukaisesti.

3. Jos henkilötietoja ei kerätä rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle 1 kohdassa tarkoitettujen tietojen lisäksi, mistä henkilötiedot on saatu.

3. Jos henkilötietoja ei kerätä rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle 1 kohdassa tarkoitettujen tietojen lisäksi, mistä kyseiset henkilötiedot on saatu. Jos tiedot ovat peräisin yleisesti saatavilla olevista lähteistä, voidaan esittää yleinen maininta.

4. Rekisterinpitäjän on toimitettava 1, 2 ja 3 kohdassa tarkoitetut tiedot

4. Rekisterinpitäjän on toimitettava 1, 2 ja 3 kohdassa tarkoitetut tiedot

a) silloin kun rekisteröidyltä saadaan henkilötietoja; tai

a) silloin kun rekisteröidyltä saadaan henkilötietoja tai ilman aiheetonta viivytystä, kun edellä mainittu ei ole mahdollista; tai

 

a a) 73 artiklassa tarkoitetun elimen, järjestön tai yhdistyksen pyynnöstä; tai

b) jos henkilötietoja ei kerätä rekisteröidyltä, silloin kun tietoja tallennetaan tai kohtuullisen ajan kuluttua tietojen keräämisestä, ottaen huomioon tietojen keräämiseen tai käsittelyyn liittyvät erityiset olosuhteet, tai, jos tietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun tietoja luovutetaan ensimmäisen kerran.

b) jos henkilötietoja ei kerätä rekisteröidyltä, silloin kun tietoja tallennetaan tai kohtuullisen ajan kuluttua tietojen keräämisestä, ottaen huomioon tietojen keräämiseen tai käsittelyyn liittyvät erityiset olosuhteet, tai, jos tietoja on tarkoitus siirtää toiselle vastaanottajalle, ja viimeistään silloin kun tietoja siirretään ensimmäisen kerran tai, jos tietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran; tai

 

b a) ainoastaan pyynnöstä, jos pien- tai mikroyritys käsittelee henkilötietoja ainoastaan aputoimintona.

5. Edellä olevaa 1–4 kohtaa ei sovelleta, jos

5. Edellä olevaa 1–4 kohtaa ei sovelleta, jos

a) rekisteröity on jo saanut 1, 2 ja 3 kohdassa tarkoitetut tiedot; tai

a) rekisteröity on jo saanut 1, 2 ja 3 kohdassa tarkoitetut tiedot; tai

b) tietoja ei kerätä rekisteröidyltä ja kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa; tai

b) tietoja käsitellään historiantutkimukseen taikka tilastolliseen tai tieteelliseen tutkimukseen liittyvissä tarkoituksissa, joihin sovelletaan 81 ja 83 artiklassa mainittuja edellytyksiä ja takeita, tietoja ei kerätä rekisteröidyltä ja kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa ja rekisterinpitäjä on julkaissut tiedot kaikkien saataville; tai

c) tietoja ei kerätä rekisteröidyltä ja niiden tallentamisesta tai luovuttamisesta säädetään nimenomaisesti laissa; tai

c) tietoja ei kerätä rekisteröidyltä ja niiden tallentamisesta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjää sitovassa laissa, jossa säädetään asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojelemiseksi henkilötietojen käsittelyyn ja luonteeseen liittyviltä riskeiltä; tai

d) tietoja ei kerätä rekisteröidyltä ja kyseisten tietojen toimittaminen vaikuttaisi muille kuuluviin oikeuksiin ja vapauksiin sellaisina kuin ne määritellään unionin tai jäsenvaltion lainsäädännössä 21 artiklan mukaisesti.

d) tietoja ei kerätä rekisteröidyltä ja kyseisten tietojen toimittaminen vaikuttaisi muille luonnollisille henkilöille kuuluviin oikeuksiin ja vapauksiin sellaisina kuin ne määritellään unionin tai jäsenvaltion lainsäädännössä 21 artiklan mukaisesti; tai

 

d a) tietoja käsittelee ammattiaan harjoittaessaan henkilö, jota koskee unionin tai jäsenvaltion lainsäädäntöön perustuva ammatillinen vaitiolovelvollisuus tai lakisääteinen salassapitovelvollisuus tai tiedot uskotaan tällaiselle henkilölle tai ne tulevat tällaisen henkilön tietoon, paitsi jos tietoja kerätään suoraan rekisteröidyltä.

6. Edellä olevan 5 kohdan b alakohdassa tarkoitetussa tapauksessa rekisterinpitäjän on toteutettava tarvittavat toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi.

6. Edellä olevan 5 kohdan b alakohdassa tarkoitetussa tapauksessa rekisterinpitäjän on toteutettava tarvittavat toimenpiteet rekisteröidyn oikeuksien tai oikeutettujen etujen suojaamiseksi.

7. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan f alakohdassa tarkoitettuja tietojen vastaanottajaryhmiä koskevat kriteerit, 1 kohdan g alakohdassa tarkoitettua mahdollista tiedonsaantia koskevaa ilmoitusta koskevat vaatimukset, 1 kohdan h alakohdassa tarkoitettuja, erityisaloilla ja -tilanteissa tarvittavia lisätietoja koskevat kriteerit ja 5 kohdan b alakohdassa säädettyjä poikkeuksia koskevat edellytykset ja asianmukaiset takeet. Tässä yhteydessä komissio toteuttaa tarvittavat toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

 

8. Komissio voi laatia vakiolomakkeet 1–3 kohdassa tarkoitettujen tietojen toimittamista varten, ottaen tarvittaessa huomioon eri alojen ja tietojenkäsittelytilanteiden erityisominaisuudet ja tarpeet. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus  111

Ehdotus asetukseksi

15 artikla

Komission teksti

Tarkistus

Rekisteröidyn tiedonsaantioikeus

Rekisteröidyn tiedonsaantioikeus

1. Rekisteröidyllä on oikeus saada rekisterinpitäjältä pyynnöstä milloin tahansa vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä. Jos henkilötietoja käsitellään, rekisterinpitäjän on annettava seuraavat tiedot:

1. Jollei 12 artiklan 4 kohdasta muuta johdu, rekisteröidyllä on oikeus saada rekisterinpitäjältä pyynnöstä milloin tahansa vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja selkeällä ja yksinkertaisella kielellä seuraavat tiedot:

a) käsittelyn tarkoitukset;

a) kunkin henkilötietojen ryhmän käsittelyn tarkoitukset;

b) kyseessä olevat henkilötietojen ryhmät;

b) kyseessä olevat henkilötietojen ryhmät;

c) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa, erityisesti kolmansissa maissa olevat vastaanottajat;

c) vastaanottajat, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa, mukaan lukien kolmansissa maissa olevat vastaanottajat;

d) henkilötietojen säilytysaika;

d) henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e) tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan rekisteröityä koskevat tiedot tai vastustaa niiden käsittelyä;

e) tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan rekisteröityä koskevat tiedot tai vastustaa niiden käsittelyä;

f) tieto siitä, että rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, ja viranomaisen yhteystiedot;

f) tieto siitä, että rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, ja viranomaisen yhteystiedot;

g) käsiteltävät henkilötiedot ja kaikki tietojen alkuperästä käytettävissä olevat tiedot;

 

(h) käsittelyn merkitys ja mahdolliset seuraukset ainakin 20 artiklassa tarkoitettujen toimenpiteiden osalta.

(h) käsittelyn merkitys ja mahdolliset seuraukset.

 

h a) merkitykselliset tiedot mihin tahansa automatisoituun käsittelyjärjestelmään liittyvästä logiikasta;

 

h b) viranomaisen pyynnön seurauksena tapahtuvan henkilötietojen luovuttamisen sattuessa vahvistus siitä, että pyyntö on tehty, sanotun kuitenkaan rajoittamatta 21 artiklan soveltamista.

2. Rekisteröidyllä on oikeus saada rekisterinpitäjältä käsiteltävänä olevat henkilötiedot. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti, paitsi jos rekisteröity toisin pyytää.

2. Rekisteröidyllä on oikeus saada rekisterinpitäjältä käsiteltävänä olevat henkilötiedot. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisessä ja jäsennellyssä muodossa, paitsi jos rekisteröity toisin pyytää. Rekisterinpitäjän on toteutettava kaikki kohtuulliset toimenpiteet tarkistaakseen, että tietoja pyytänyt henkilö on kyseinen rekisteröity, sanotun kuitenkaan rajoittamatta 10 artiklan soveltamista.

 

2 a. Jos rekisteröity on itse antanut henkilötiedot ja jos henkilötietoja käsitellään sähköisesti, rekisteröidyllä on oikeus saada rekisterinpitäjältä jäljennös toimitetuista henkilötiedoista yleisesti käytetyssä sähköisessä ja yhteentoimivassa muodossa, joka antaa rekisteröidylle mahdollisuuden käyttää tietoja edelleen, sen rekisterinpitäjän estämättä, jonka hallusta henkilötiedot poistetaan. Tiedot siirretään rekisterinpitäjältä suoraan rekisterinpitäjälle rekisteröidyn pyynnöstä, jos se on teknisesti mahdollista ja käytettävissä.

 

2 b. Tämä artikla ei saa rajoittaa 5 artiklan 1 kohdan e alakohdassa säädettyä velvoitetta poistaa tietoja sen jälkeen, kun niitä ei enää tarvita.

 

2 c. Edellä 1 ja 2 kohdan mukaista tiedonsaantioikeutta ei ole, kun kyse on 14 artiklan 5 kohdan d a alakohdassa tarkoitetuista tiedoista, paitsi jos rekisteröidyllä on valtuudet poistaa kyseinen salassapitovelvoite ja hän toimii sen mukaisesti.

3. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan g alakohdassa tarkoitettuun henkilötietojen toimittamiseen rekisteröidylle liittyvät kriteerit ja vaatimukset.

 

4. Komissio voi laatia vakiolomakkeet ja -menettelyt 1 kohdassa tarkoitettujen tietojen pyytämistä ja toimittamista varten, mukaan lukien rekisteröidyn henkilöllisyyden todentaminen ja henkilötietojen toimittaminen rekisteröidylle, ottaen huomioon eri alojen ja tietojenkäsittelytilanteiden erityisominaisuudet ja tarpeet. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus  112

Ehdotus asetukseksi

17 artikla

Komission teksti

Tarkistus

Oikeus tulla unohdetuksi ja poistaa tiedot

Oikeus poistaa tiedot

1. Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä poistaa rekisteröityä koskevat henkilötiedot ja pidättyy näiden tietojen edelleen luovuttamisesta, etenkin kun kyseessä ovat henkilötiedot, jotka rekisteröity on asettanut saataville lapsena, edellyttäen että jokin seuraavista perusteista täyttyy:

1. Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä poistaa rekisteröityä koskevat henkilötiedot ja pidättyy näiden tietojen edelleen luovuttamisesta ja että kolmannet osapuolet poistavat kaikki linkit kyseisiin tietoihin tai niiden jäljennökset tai kopiot, edellyttäen että jokin seuraavista perusteista täyttyy:

a) tietoja ei enää tarvita niiden tarkoitusten toteuttamista varten, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

a) tietoja ei enää tarvita niiden tarkoitusten toteuttamista varten, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

b) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan mukaisesti, tai suostumuksen kohteena ollut säilytysaika on päättynyt eikä tietojenkäsittelyyn ole muuta laillista perustetta;

b) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan mukaisesti, tai suostumuksen kohteena ollut säilytysaika on päättynyt eikä tietojenkäsittelyyn ole muuta laillista perustetta;

c) rekisteröity vastustaa henkilötietojen käsittelyä 19 artiklan nojalla;

c) rekisteröity vastustaa henkilötietojen käsittelyä 19 artiklan nojalla;

 

c a) unionissa sijaitseva tuomioistuin tai sääntelyviranomainen on tehnyt lainvoimaisen ratkaisun kyseisten tietojen poistamisesta;

d) tietojenkäsittely ei muista syistä ole tämän asetuksen mukaista.

d) tietoja on käsitelty lainvastaisesti.

 

1 a. Edellä 1 kohtaa sovelletaan vain, jos rekisterinpitäjä voi tarkistaa, että tietojen poistamista pyytänyt henkilö on kyseinen rekisteröity.

2. Jos 1 kohdassa tarkoitettu rekisterinpitäjä on julkistanut tiedot, sen on toteutettava julkistamiensa tietojen osalta kaikki kohtuulliset toimenpiteet, mukaan lukien tekniset toimet, ilmoittaakseen näitä tietoja käsitteleville kolmansille osapuolille, että rekisteröity pyytää niitä poistamaan kyseisiin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot. Jos rekisterinpitäjä on valtuuttanut kolmannen osapuolen julkistamaan henkilötietoja, rekisterinpitäjän katsotaan olevan vastuussa julkaisemisesta.

2. Jos 1 kohdassa tarkoitettu rekisterinpitäjä on julkistanut tiedot ilman 6 artiklan 1 kohtaan perustuvaa perustetta, sen on toteutettava kaikki kohtuulliset toimenpiteet tietojen poistamiseksi, myös kolmansien osapuolten toimesta, sanotun kuitenkaan rajoittamatta 77 artiklan soveltamista. Rekisterinpitäjän on mahdollisuuksien mukaan ilmoitettava rekisteröidylle kyseisten kolmansien osapuolten toteuttamista toimista.

3. Rekisterinpitäjän on poistettava henkilötiedot viipymättä, paitsi jos niiden säilyttäminen on tarpeen

3. Rekisterinpitäjän ja tarvittaessa kolmannen osapuolen on poistettava henkilötiedot viipymättä, paitsi jos niiden säilyttäminen on tarpeen

a) sananvapautta koskevan oikeuden käyttämiseksi 80 artiklan mukaisesti;

a) sananvapautta koskevan oikeuden käyttämiseksi 80 artiklan mukaisesti;

b) kansanterveyteen liittyvää yleistä etua koskevista syistä 81 artiklan mukaisesti;

b) kansanterveyteen liittyvää yleistä etua koskevista syistä 81 artiklan mukaisesti;

c) historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten 83 artiklan mukaisesti;

c) historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten 83 artiklan mukaisesti;

d) unionin tai jäsenvaltion lainsäädäntöön perustuvan, henkilötietojen tallentamista koskevan rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi; jäsenvaltioiden lainsäädännön on oltava yleistä etua koskevan tavoitteen mukainen, noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja oltava tavoiteltuun päämäärään nähden oikeasuhteinen;

d) unionin tai jäsenvaltion lainsäädäntöön perustuvan, henkilötietojen tallentamista koskevan rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi; jäsenvaltioiden lainsäädännön on oltava yleistä etua koskevan tavoitteen mukainen, noudatettava oikeutta henkilötietojen suojaan ja oltava tavoiteltuun päämäärään nähden oikeasuhteinen;

e) edellä 4 kohdassa tarkoitetuissa tapauksissa.

e) edellä 4 kohdassa tarkoitetuissa tapauksissa.

4. Tietojen poistamisen sijasta rekisterinpitäjän on rajoitettava niiden käsittelyä, jos

4. Tietojen poistamisen sijasta rekisterinpitäjän on rajoitettava niiden käsittelyä niin, että niihin ei ole normaalia pääsyä eikä niihin sovelleta käsittelytoimia eikä niitä enää voi muuttaa, jos

a) rekisteröity kiistää tietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;

a) rekisteröity kiistää tietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;

b) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja tehtäviensä suorittamiseen, mutta ne on säilytettävä todistelua varten;

b) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja tehtäviensä suorittamiseen, mutta ne on säilytettävä todistelua varten;

c) käsittely on lainvastaista ja rekisteröity vastustaa tietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;

c) käsittely on lainvastaista ja rekisteröity vastustaa tietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;

 

c a) unionissa sijaitseva tuomioistuin tai sääntelyviranomainen on tehnyt lainvoimaisen ratkaisun kyseisten tietojen rajoittamisesta;

d) rekisteröity haluaa siirtää henkilötietonsa toiseen automatisoituun käsittelyjärjestelmään 18 artiklan 2 kohdan mukaisesti.

d) rekisteröity haluaa siirtää henkilötietonsa toiseen automatisoituun käsittelyjärjestelmään 15 artiklan 2 a kohdan mukaisesti;

 

d a) kyseinen säilytystekniikka ei mahdollista poistamista ja on asennettu ennen tämän asetuksen voimaantuloa.

5. Edellä 4 kohdassa tarkoitettuja henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan todistelua varten tai rekisteröidyn suostumuksella tai toisen luonnollisen tai oikeushenkilön oikeuksien suojaamiseksi tai yleistä etua koskevan tavoitteen vuoksi.

5. Edellä 4 kohdassa tarkoitettuja henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan todistelua varten tai rekisteröidyn suostumuksella tai toisen luonnollisen tai oikeushenkilön oikeuksien suojaamiseksi tai yleistä etua koskevan tavoitteen vuoksi.

6. Jos henkilötietojen käsittelyä on rajoitettu 4 kohdan nojalla, rekisterinpitäjän on ilmoitettava rekisteröidylle, ennen kuin käsittelyä koskeva rajoitus poistetaan.

6. Jos henkilötietojen käsittelyä on rajoitettu 4 kohdan nojalla, rekisterinpitäjän on ilmoitettava rekisteröidylle, ennen kuin käsittelyä koskeva rajoitus poistetaan.

7. Rekisterinpitäjän on toteutettava mekanismit, joiden avulla voidaan varmistaa, että henkilötietojen poistamista ja/tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten asetettuja määräaikoja noudatetaan.

 

8. Jos henkilötiedot on poistettu, rekisterinpitäjä ei saa enää muutoin käsitellä kyseisiä henkilötietoja.

8. Jos henkilötiedot on poistettu, rekisterinpitäjä ei saa enää muutoin käsitellä kyseisiä henkilötietoja.

 

8 a. Rekisterinpitäjän on toteutettava mekanismit, joiden avulla voidaan varmistaa, että henkilötietojen poistamista ja/tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten asetettuja määräaikoja noudatetaan.

9. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin:

9. Siirretään komissiolle valta antaa Euroopan tietosuojaneuvostolta pyydetyn lausunnon jälkeen 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin:

a) 1 kohdan soveltamista koskevat kriteerit ja vaatimukset eri aloja ja erilaisia tietojenkäsittelytilanteita varten;

a) 1 kohdan soveltamista koskevat kriteerit ja vaatimukset eri aloja ja erilaisia tietojenkäsittelytilanteita varten;

b) edellytykset henkilötietoihin liittyvien linkkien sekä tietojen kopioiden ja jäljennösten poistamiseksi 2 kohdassa tarkoitetuista julkisesti saatavilla olevista viestintäpalveluista;

b) edellytykset henkilötietoihin liittyvien linkkien sekä tietojen kopioiden ja jäljennösten poistamiseksi 2 kohdassa tarkoitetuista julkisesti saatavilla olevista viestintäpalveluista;

c) kriteerit ja edellytykset 4 kohdassa tarkoitettujen henkilötietojen käsittelyn rajoittamista varten.

c) kriteerit ja edellytykset 4 kohdassa tarkoitettujen henkilötietojen käsittelyn rajoittamista varten.

Tarkistus  113

Ehdotus asetukseksi

18 artikla

Komission teksti

Tarkistus

Oikeus siirtää tiedot järjestelmästä toiseen

Poistetaan.

1. Kun henkilötietoja käsitellään sähköisin keinoin, jäsennellyssä ja yleisesti käytetyssä muodossa, rekisteröidyllä on oikeus saada rekisterinpitäjältä jäljennös käsiteltävistä tiedoista yleisesti käytetyssä sähköisessä ja jäsennellyssä muodossa, joka antaa rekisteröidylle mahdollisuuden käyttää tietoja edelleen.

 

2. Kun rekisteröity on itse antanut henkilötiedot ja niiden käsittely perustuu suostumukseen tai sopimukseen, rekisteröidyllä on oikeus siirtää kyseiset henkilötiedot ja kaikki muut rekisteröidyn itsensä antamat, automatisoituun käsittelyjärjestelmään tallennetut tiedot toiseen järjestelmään, yleisesti käytetyssä sähköisessä muodossa, sen rekisterinpitäjän estämättä, jonka hallusta henkilötiedot poistetaan.

 

3. Komissio voi täsmentää 1 kohdassa tarkoitetun sähköisen muodon ja vahvistaa tekniset standardit, yksityiskohtaiset säännöt ja menettelyt henkilötietojen siirtämiseksi 2 kohdan nojalla. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus  114

Ehdotus asetukseksi

19 artikla

Komission teksti

Tarkistus

Oikeus vastustaa henkilötietojen käsittelyä

Oikeus vastustaa henkilötietojen käsittelyä

1. Rekisteröidyllä on oikeus henkilökohtaisen tilanteensa perusteella milloin tahansa vastustaa henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan d, e ja f alakohtaan, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa pakottava perusteltu syy, joka syrjäyttää rekisteröidyn edut tai perusoikeudet ja -vapaudet.

1. Rekisteröidyllä on oikeus milloin tahansa vastustaa henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan d ja e alakohtaan, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa pakottava perusteltu syy, joka syrjäyttää rekisteröidyn edut tai perusoikeudet ja -vapaudet.

2. Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus vastustaa maksutta henkilötietojensa käsittelyä tällaista markkinointia varten. Tätä oikeutta on tarjottava rekisteröidylle nimenomaisesti ja ymmärrettävällä tavalla, selkeästi muusta tiedotuksesta erillään.

2. Jos henkilötietojen käsittely perustuu 6 artiklan 1 kohdan f alakohtaan, rekisteröidyllä on milloin tahansa ja ilman lisäperusteita oikeus vastustaa maksutta henkilötietojensa käsittelyä yleisesti ottaen tai johonkin tiettyyn tarkoitukseen.

 

2 a. Edellä 2 kohdassa tarkoitettua oikeutta on tarjottava rekisteröidylle nimenomaisesti, ymmärrettävällä tavalla ja ymmärrettävässä muodossa sekä selkeällä ja yksinkertaisella kielellä, etenkin jos tiedot on suunnattu erityisesti lapselle, ja selkeästi muusta tiedotuksesta erillään.

 

2 b. Tietoyhteiskunnan palvelujen käyttämisen yhteydessä ja sen estämättä, mitä direktiivissä 2002/58/EY määrätään, oikeutta vastustaa voidaan käyttää automaattisesti yleisesti pätevän teknisen standardin avulla, joka antaa rekisteröidylle mahdollisuuden ilmaista selkeästi tahtonsa.

3. Jos vastustus hyväksytään 1 ja 2 kohdan nojalla, rekisterinpitäjä ei saa enää käyttää tai muutoin käsitellä kyseisiä henkilötietoja.

3. Jos vastustus hyväksytään 1 ja 2 kohdan nojalla, rekisterinpitäjä ei saa enää käyttää tai muutoin käsitellä kyseisiä henkilötietoja niihin tarkoituksiin, joita vastustus koskee.

(Komission tekstin 2 kohdan viimeisestä virkkeestä tulee parlamentin tarkistuksella 2 a kohta).

Tarkistus  115

Ehdotus asetukseksi

20 artikla

Komission teksti

Tarkistus

Profilointiin perustuvat toimenpiteet

Profilointi

1. Jokaisella luonnollisella henkilöllä on oikeus olla joutumatta sellaisen toimenpiteen kohteeksi, joka aiheuttaa hänelle oikeusvaikutuksia tai vaikuttaa häneen merkittävällä tavalla ja joka on tehty ainoastaan automaattisen tietojenkäsittelyn perusteella hänen tiettyjen henkilökohtaisten ominaisuuksiensa arvioimista tai erityisesti hänen ammatillisen suorituskykynsä, taloudellisen tilanteensa, sijaintinsa, terveytensä, henkilökohtaisten mieltymystensä, luotettavuutensa tai käyttäytymisensä analysoimista tai ennakoimista varten.

1. Jokaisella luonnollisella henkilöllä on oikeus vastustaa profilointia 19 artiklan mukaisesti, sanotun kuitenkaan rajoittamatta 6 artiklan soveltamista. Rekisteröidylle ilmoitetaan selkeästi havaittavalla tavalla oikeudesta vastustaa profilointia.

2. Ellei tässä asetuksessa muuta säädetä, henkilöön voidaan kohdistaa 1 kohdassa tarkoitetun kaltainen toimenpide vain jos tietojenkäsittely

2. Ellei tässä asetuksessa muuta säädetä, henkilöön voidaan kohdistaa profilointia, joka johtaa toimenpiteisiin, jotka aiheuttavat rekisteröidylle oikeusvaikutuksia, tai vaikuttaa vastaavan merkittävästi rekisteröidyn etuihin, oikeuksiin tai vapauksiin, vain jos tietojenkäsittely

a) suoritetaan sopimuksen tekemisen tai täytäntöönpanon yhteydessä, sillä edellytyksellä, että rekisteröidyn esittämä sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö on täytetty tai että on toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi, kuten oikeus siihen, että tietojen käsittelyyn osallistuu ihminen; tai

a) on välttämätöntä sopimuksen tekemiseksi tai täytäntöönpanemiseksi, sillä edellytyksellä, että rekisteröidyn esittämä sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö on täytetty tai että on toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

b) on nimenomaisesti hyväksytty unionin tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

 

b) on nimenomaisesti hyväksytty unionin tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi;

c) perustuu rekisteröidyn suostumukseen, edellyttäen että 7 artiklassa säädetyt edellytykset täyttyvät ja että asianmukaiset takeet on annettu.

c) perustuu rekisteröidyn suostumukseen, edellyttäen että 7 artiklassa säädetyt edellytykset täyttyvät ja että asianmukaiset takeet on annettu.

3. Henkilötietojen automaattinen käsittely, jonka tarkoituksena on arvioida luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, ei saa perustua pelkästään 9 artiklassa tarkoitettuihin erityisiin henkilötietojen ryhmiin.

3. Profilointi, jonka seurauksena henkilöitä syrjitään rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, seksuaalisen suuntautumisen tai sukupuoli-identiteetin perusteella tai jonka seurauksena toteutetaan toimenpiteitä, joilla on tällaisia seurauksia, on kielletty. Rekisterinpitäjän on toteutettava tehokkaita suojelutoimia profiloinnista mahdollisesti aiheutuvaa syrjintää vastaan. Profilointi ei saa perustua yksinomaan 9 artiklassa tarkoitettuihin erityisiin henkilötietojen ryhmiin.

4. Tiedoissa, jotka rekisterinpitäjän on toimitettava 14 artiklan nojalla, on 2 kohdassa tarkoitetuissa tapauksissa mainittava, onko tietoja käsitelty 1 kohdassa tarkoitetun kaltaista toimenpidettä varten, ja arvioitava tällaisen käsittelyn vaikutuksia rekisteröityyn.

 

5. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset 2 kohdassa tarkoitettujen rekisteröidyn oikeutettujen etujen suojaamiseksi annettavia asianmukaisia toimenpiteitä varten.

5. Profilointi, jolla on rekisteröityä koskevia oikeusvaikutuksia tai vaikuttaa vastaavan merkittävästi rekisteröidyn etuihin, oikeuksiin tai vapauksiin, ei saa perustua yksinomaan tai pääosin automaattiseen tietojenkäsittelyyn ja siihen on sisällyttävä ihmisen tekemä arvio, oikeus saada selitys tämän arvion jälkeen tehdystä päätöksestä mukaan luettuna. Asianmukaisia toimenpiteitä rekisteröidyn 2 kohdassa tarkoitettujen oikeutettujen etujen suojaamiseksi ovat muun muassa oikeus ihmisen tekemään arvioon ja oikeus saada selitys tämän arvion jälkeen tehdystä päätöksestä.

 

5 a. Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan 1 kohdan b alakohdan mukaisesti, jotta voidaan määritellä tarkemmin profilointia koskevat kriteerit ja edellytykset 2 kohdan mukaisesti.

Tarkistus  116

Ehdotus asetukseksi

21 artikla

Komission teksti

Tarkistus

Rajoitukset

Rajoitukset

1. Unionin tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 5 artiklan a–e alakohdassa sekä 11–20 artiklassa ja 32 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos tällaiset rajoitukset ovat demokraattisessa yhteiskunnassa välttämättömiä ja oikeasuhteisia toimenpiteitä, jotta voidaan taata

1. Unionin tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 11–19 artiklassa ja 32 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos tällaiset rajoitukset ovat selkeästi määritellyn yleistä etua koskevan tavoitteen mukaisia, niissä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan, ne ovat tavoiteltuun päämäärään nähden oikeasuhteisia, niissä kunnioitetaan rekisteröidyn perusoikeuksia ja etuja ja ne ovat demokraattisessa yhteiskunnassa välttämättömiä ja oikeasuhteisia toimenpiteitä, jotta voidaan taata

a) yleinen turvallisuus;

a) yleinen turvallisuus;

b) rikosten torjuminen, tutkiminen, selvittäminen ja syytteeseenpano;

b) rikosten torjuminen, tutkiminen, selvittäminen ja syytteeseenpano;

c) muut unionin tai jäsenvaltion yleiset edut, erityisesti jäsenvaltiolle tai Euroopan unionille tärkeä taloudellinen tai rahoituksellinen etu, myös rahaa, talousarviota ja verotusta sekä markkinoiden vakauden ja eheyden suojaamista koskevissa asioissa;

c) verotusta koskevat asiat;

d) säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomusten torjuminen, tutkiminen, selvittäminen ja syytteeseenpano;

d) säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomusten torjuminen, tutkiminen, selvittäminen ja syytteeseenpano;

e) valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttämiseen a–d alakohdassa tarkoitetuissa tapauksissa;

e) valvonta-, tarkastus- tai sääntelytehtävä toimivaltaisen viranomaisen vallan käytön yhteydessä a–d alakohdassa tarkoitetuissa tapauksissa;

f) rekisteröidyn tai muille kuuluvien oikeuksien ja vapauksien suojelu.

f) rekisteröidyn tai muille kuuluvien oikeuksien ja vapauksien suojelu.

2. Edellä 1 kohdassa tarkoitettujen säädösten on sisällettävä erityisesti säännökset, jotka koskevat ainakin käsittelyn tavoitteita ja rekisterinpitäjän määrittämistä.

2. Edellä 1 kohdassa tarkoitettujen säädösten on oltava välttämättömiä ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä ja niiden on sisällettävä erityisesti säännökset, jotka koskevat ainakin

 

a) käsittelyn tavoitteita;

 

b) rekisterinpitäjän määrittämistä;

 

c) tietojenkäsittelyn erityisiä tarkoituksia ja keinoja;

 

d) suojatoimia, joilla estetään hyväksikäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen;

 

e) rekisteröityjen oikeutta saada tietoa rajoituksesta.

 

2 a. Edellä 1 kohdassa tarkoitetuilla lainsäädäntötoimilla ei pidä sallia eikä velvoittaa sitä, että yksityiset rekisterinpitäjät säilyttävät muita kuin alkuperäiseen tarkoitukseen välttämättömiä tietoja.

 

(Komission tekstin 2 kohdan viimeisistä sanoista tulee parlamentin tarkistuksella a ja b alakohta).

Tarkistus  117

Ehdotus asetukseksi

22 artikla

Komission teksti

Tarkistus

Rekisterinpitäjän vastuu

Rekisterinpitäjän vastuu ja tilivelvollisuus

1. Rekisterinpitäjän on hyväksyttävä toimintamenetelmät ja toteutettava tarvittavat toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan tätä asetusta.

1. Rekisterinpitäjän on hyväksyttävä asianmukaiset toimintamenetelmät ja toteutettava tarvittavat todennettavissa olevat tekniset ja organisatoriset toimenpiteet sen varmistamiseksi ja osoittamiseksi läpinäkyvästi, että henkilötietojen käsittelyssä noudatetaan tätä asetusta ottaen huomioon uusin tekniikka, henkilötietojen käsittelyn luonne, käsittelyn konteksti, laajuus ja tarkoitukset, rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit ja kyseessä olevan organisaation tyyppi sekä käsittelykeinojen määrittämisen että itse käsittelyn yhteydessä.

 

1 a. Rekisterinpitäjän on toteutettava uusin tekniikka ja toteuttamiskustannukset huomioon ottaen kaikki kohtuulliset toimenpiteet sellaisten vaatimuksenmukaisuutta koskevien toimintamenetelmien ja -menettelyjen toteuttamiseksi, joissa kunnioitetaan jatkuvasti rekisteröityjen itsenäisiä valintoja. Näitä vaatimuksenmukaisuutta koskevia toimintamenetelmiä tarkastellaan uudelleen vähintään kahden vuoden välein ja päivitetään tarvittaessa.

2. Edellä 1 kohdassa tarkoitettuja toimenpiteitä ovat erityisesti seuraavat:

 

a) jäljempänä 28 artiklassa tarkoitettujen asiakirjojen säilyttäminen;

 

b) jäljempänä 30 artiklassa vahvistettujen tietoturvallisuutta koskevien vaatimusten täytäntöönpano;

 

c) jäljempänä 33 artiklassa tarkoitetun tietosuojaa koskevan vaikutustenarvioinnin laatiminen;

 

d) valvontaviranomaisen ennakkohyväksyntää tai ennakkokuulemista koskevien vaatimusten noudattaminen 34 artiklan 1 ja 2 kohdan mukaisesti;

 

e) tietosuojavastaavan nimittäminen 35 artiklan 1 kohdan nojalla.

 

3. Rekisterinpitäjän on toteutettava mekanismit sen varmistamiseksi, että 1 ja 2 kohdassa tarkoitettujen toimenpiteiden tehokkuus tarkistetaan. Tarkistamisen suorittavat riippumattomat sisäiset tai ulkoiset tarkastajat, mikäli se on oikeasuhteista.

3. Rekisterinpitäjän on voitava osoittaa 1 ja 2 kohdassa tarkoitettujen toimenpiteiden riittävyys ja tehokkuus. Jokaiseen rekisterinpitäjän toimintaa koskevaan yleiseen määräaikaiskertomukseen, kuten avoimien yhtiöiden pakollisiin kertomuksiin, on sisällytettävä yhteenveto 1 kohdassa tarkoitetuista toimintamenetelmistä ja toimenpiteistä.

 

3 a. Rekisterinpitäjällä on oikeus siirtää henkilötietoja unionissa sen yritysryhmän sisällä, johon rekisterinpitäjä kuuluu, jos käsittely on välttämätöntä oikeutettujen sisäisten hallinnollisten tarkoitusten vuoksi yritysryhmän toisiinsa liittyvien liiketoiminta-alojen välillä ja jos tietosuojan riittävä taso ja rekisteröityjen edut varmistetaan sisäisillä tietosuojasäännöillä tai vastaavilla 38 artiklan mukaisilla käytännesäännöillä.

4. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitettuja, muita kuin 2 kohdassa jo tarkoitettuja asianmukaisia toimenpiteitä koskevat kriteerit ja vaatimukset, 3 kohdassa tarkoitettuja tarkistusmekanismeja koskevat edellytykset ja 3 kohdassa tarkoitettua oikeasuhteisuutta koskevat kriteerit, ottaen huomioon erityiset toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

 

Tarkistus  118

Ehdotus asetukseksi

23 artikla

Komission teksti

Tarkistus

Sisäänrakennettu ja oletusarvoinen tietosuoja

Sisäänrakennettu ja oletusarvoinen tietosuoja

1. Rekisterinpitäjän on sekä käsittelykeinojen määrittämisen että itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet ja menettelyt uusin tekniikka ja toteuttamiskustannukset huomioon ottaen siten, että käsittely vastaa tämän asetuksen vaatimuksia ja takaa rekisteröidyn oikeuksien suojelun.

1. Rekisterinpitäjän ja mahdollisen henkilötietojen käsittelijän on sekä käsittelytarkoitusten että käsittelykeinojen määrittämisen että itse käsittelyn yhteydessä toteutettava asianmukaiset ja oikeasuhteiset tekniset ja organisatoriset toimenpiteet ja menettelyt uusin tekniikka, nykyinen tekninen tietämys, kansainväliset parhaat käytännöt ja tietojenkäsittelyyn liittyvät riskit huomioon ottaen siten, että käsittely vastaa tämän asetuksen vaatimuksia ja takaa rekisteröidyn oikeuksien suojelun, erityisesti 5 artiklassa säädetyt periaatteet huomioon ottaen. Sisäänrakennetussa tietosuojassa on otettava erityisesti huomioon henkilötietojen elinkaaren hallinta niiden keräämisestä ja käsittelystä poistamiseen saakka, ja siinä on keskityttävä järjestelmällisesti henkilötietojen paikkansapitävyyttä, luottamuksellisuutta, eheyttä, fyysistä turvallisuutta ja poistamista koskeviin kattaviin menettelytakeisiin. Jos rekisterinpitäjä on tehnyt 33 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin, sen tulokset on otettava huomioon näiden toimenpiteiden ja menettelyjen kehittämisessä.

 

1 a. Sisäänrakennetun tietosuojan on oltava edellytys Euroopan parlamentin ja neuvoston direktiivin 2004/18/EY1 sekä Euroopan parlamentin ja neuvoston direktiivin 2004/17/EY2 (erityisalojen hankintadirektiivi) mukaisille julkisille tarjouskilpailuille, jotta sen laajamittaista täytäntöönpanoa edistetään talouden eri aloilla.

2. Rekisterinpitäjän on otettava käyttöön keinot sen varmistamiseksi, että käsittely koskee oletusarvoisesti vain niitä henkilötietoja, jotka ovat välttämättömiä tietyn käsittelytarkoituksen kannalta, ja että tietoja ei erikseen kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on välttämätöntä kyseisten tarkoitusten toteuttamiseksi. Näiden keinojen avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville.

2. Rekisterinpitäjän on varmistettava, että käsittely koskee oletusarvoisesti vain niitä henkilötietoja, jotka ovat välttämättömiä tietyn käsittelytarkoituksen kannalta, ja että tietoja ei erikseen kerätä, säilytetä tai jaeta suurempia määriä eikä kauemmin kuin on välttämätöntä kyseisten tarkoitusten toteuttamiseksi. Näiden keinojen avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ja että rekisteröidyt voivat valvoa henkilötietojensa jakelua.

3. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja asianmukaisia toimenpiteitä koskevat kriteerit ja vaatimukset ja erityisesti eri aloilla tai eri tuotteisiin ja palveluihin sovellettavat sisäänrakennettua tietosuojaa koskevat vaatimukset.

 

4. Komissio voi vahvistaa 1 ja 2 kohdassa säädettyjä vaatimuksia koskevat tekniset standardit. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

 

1 Euroopan parlamentin ja neuvoston direktiivi 2004/18/EY, annettu 31 päivänä maaliskuuta 2004, julkisia rakennusurakoita sekä julkisia tavara- ja palveluhankintoja koskevien sopimusten tekomenettelyjen yhteensovittamisesta (EUVL L 134, 30.4.2004, s. 114).

2 Euroopan parlamentin ja neuvoston direktiivi 2004/17/EY, annettu 31 päivänä maaliskuuta 2004, vesi- ja energiahuollon sekä liikenteen ja postipalvelujen alalla toimivien yksiköiden hankintamenettelyjen yhteensovittamisesta (EUVL L 134, 30.4.2004, s. 1),

Tarkistus  119

Ehdotus asetukseksi

24 artikla

Komission teksti

Tarkistus

Yhteiset rekisterinpitäjät

Yhteiset rekisterinpitäjät

Jos rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset, edellytykset ja keinot yhdessä muiden rekisterinpitäjien kanssa, näiden yhteisten rekisterinpitäjien on keskinäisellä järjestelyllä määritettävä kunkin vastuualue tässä asetuksessa vahvistettujen velvoitteiden mukaisesti, erityisesti niiden menettelyjen ja mekanismien osalta, joiden avulla rekisteröidyt voivat käyttää oikeuksiaan.

Jos useammat rekisterinpitäjät määrittävät yhdessä henkilötietojen käsittelyn tarkoitukset, edellytykset ja keinot, näiden yhteisten rekisterinpitäjien on keskinäisellä järjestelyllä määritettävä kunkin vastuualue tässä asetuksessa vahvistettujen velvoitteiden mukaisesti, erityisesti niiden menettelyjen ja mekanismien osalta, joiden avulla rekisteröidyt voivat käyttää oikeuksiaan. Tällaisesta järjestelystä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset tehtävät ja suhteet rekisteröityihin nähden, ja järjestelyn keskeisten osien on oltava rekisteröidyn käytettävissä. Jos vastuukysymys on epäselvä, rekisterinpitäjät ovat yhteisvastuullisia.

Tarkistus  120

Ehdotus asetukseksi

25 artikla

Komission teksti

Tarkistus

Unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien edustajat

Unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien edustajat

1. Edellä 3 artiklan 2 kohdassa tarkoitetussa tilanteessa rekisterinpitäjän on nimitettävä edustaja unionin aluetta varten.

1. Edellä 3 artiklan 2 kohdassa tarkoitetussa tilanteessa rekisterinpitäjän on nimitettävä edustaja unionin aluetta varten.

2. Tätä velvollisuutta ei sovelleta

2. Tätä velvollisuutta ei sovelleta

a) rekisterinpitäjään, joka on sijoittautunut sellaiseen kolmanteen maahan, jonka tarjoamaa tietosuojan tasoa komissio pitää riittävänä 41 artiklan mukaisesti; tai

a) rekisterinpitäjään, joka on sijoittautunut sellaiseen kolmanteen maahan, jonka tarjoamaa tietosuojan tasoa komissio pitää riittävänä 41 artiklan mukaisesti; tai

b) yritykseen, jossa on alle 250 työntekijää; tai

b) rekisterinpitäjään, joka käsittelee henkilötietoja, jotka koskevat alle 5 000:ta rekisteröityä 12 kuukauden jaksolla, eikä käsittele 9 artiklan 1 kohdassa tarkoitettuja erityisiä tietoryhmiä, sijaintitietoja eikä lapsia tai työntekijöitä koskevia tietoja suuren mittakaavan rekisteröintijärjestelmissä; tai

c) viranomaisiin ja julkishallinnon elimiin; tai

c) viranomaisiin ja julkishallinnon elimiin; tai

d) rekisterinpitäjään, joka tarjoaa tavaroita tai palveluja unionin alueella asuville rekisteröidyille vain satunnaisesti.

d) rekisterinpitäjään, joka tarjoaa rekisteröidyille tavaroita tai palveluja unionissa vain satunnaisesti, paitsi jos henkilötietojen käsittelyssä on kyse 9 artiklan 1 kohdassa tarkoitetuista erityisistä tietoryhmistä, sijaintitiedoista tai lapsia tai työntekijöitä koskevista tiedoista suuren mittakaavan rekisteröintijärjestelmissä.

3. Edustajan on oltava sijoittautunut johonkin niistä jäsenvaltioista, joissa asuvat ne rekisteröidyt, joiden henkilötietoja käsitellään heille tarjottavien tavaroiden tai palvelujen vuoksi tai heidän käyttäytymisensä seuraamiseksi.

3. Edustajan on oltava sijoittautunut johonkin niistä jäsenvaltioista, joissa se tarjoaa tavaroita tai palveluja rekisteröidyille tai joissa rekisteröityjä seurataan.

4. Edustajan nimittäminen rekisterinpitäjän toimesta ei rajoita niitä oikeustoimia, jotka voidaan käynnistää rekisterinpitäjää vastaan.

4. Edustajan nimittäminen rekisterinpitäjän toimesta ei rajoita niitä oikeustoimia, jotka voidaan käynnistää rekisterinpitäjää vastaan.

Tarkistus  121

Ehdotus asetukseksi

26 artikla

Komission teksti

Tarkistus

Henkilötietojen käsittelijä

Henkilötietojen käsittelijä

1. Jos käsittelytoimi suoritetaan rekisterinpitäjän lukuun, tämän on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet siitä, että käsittelyyn liittyvät tekniset ja organisatoriset toimet ja menettelyt toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset ja varmistaa rekisteröidyn oikeuksien suojelun, erityisesti suoritettavaa käsittelyä koskevien teknisten turvatoimien ja organisatoristen toimien osalta, ja varmistettava kyseisten toimenpiteiden noudattamisen.

1. Jos käsittely suoritetaan rekisterinpitäjän lukuun, tämän on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet siitä, että käsittelyyn liittyvät tekniset ja organisatoriset toimet ja menettelyt toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset ja varmistaa rekisteröidyn oikeuksien suojelun, erityisesti suoritettavaa käsittelyä koskevien teknisten turvatoimien ja organisatoristen toimien osalta, ja varmistettava kyseisten toimenpiteiden noudattamisen.

2. Henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo käsittelijän rekisterinpitäjään ja jossa erityisesti säädetään, että henkilötietojen käsittelijä

2. Henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo käsittelijän rekisterinpitäjään. Rekisterinpitäjän ja henkilötietojen käsittelijän on voitava vapaasti määritellä kunkin tehtävät tämän asetuksen vaatimuksiin nähden, ja niiden on huolehdittava siitä, että henkilötietojen käsittelijä

a) toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti, etenkin jos käsiteltäviä henkilötietoja ei saa siirtää;

a) käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti, jollei unionin tai jäsenvaltion lainsäädännössä toisin määrätä;

b) ottaa palvelukseen ainoastaan sellaista henkilöstöä, joka on sitoutunut noudattamaan salassapitovelvollisuutta tai jota koskee lakisääteinen salassapitovelvollisuus;

b) ottaa palvelukseen ainoastaan sellaista henkilöstöä, joka on sitoutunut noudattamaan salassapitovelvollisuutta tai jota koskee lakisääteinen salassapitovelvollisuus;

c) toteuttaa kaikki 30 artiklassa vaaditut toimenpiteet;

c) toteuttaa kaikki 30 artiklassa vaaditut toimenpiteet;

d) käyttää toisen henkilötietojen käsittelijän palveluksia vasta rekisterinpitäjän ennakkohyväksynnän saatuaan;

d) määrittää edellytykset toisen henkilötietojen käsittelijän palveluksien käyttämiselle vasta rekisterinpitäjän ennakkohyväksynnän saatuaan, jollei toisin määritellä;

e) käsittelytoimen luonteen salliessa laatii yhdessä rekisterinpitäjän kanssa tarvittavat tekniset ja organisatoriset vaatimukset, jotta voidaan täyttää rekisterinpitäjän velvollisuus vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;

e) käsittelytoimen luonteen salliessa laatii yhdessä rekisterinpitäjän kanssa asianmukaiset ja asiaankuuluvat tekniset ja organisatoriset vaatimukset, jotta voidaan täyttää rekisterinpitäjän velvollisuus vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;

f) auttaa rekisterinpitäjää varmistamaan, että 30–34 artiklassa säädettyjä velvollisuuksia noudatetaan;

f) auttaa rekisterinpitäjää varmistamaan, että 30–34 artiklassa säädettyjä velvollisuuksia noudatetaan, ottaen huomioon käsittelyn luonteen ja tietojen käsittelijän saatavilla olevan tiedon;

g) luovuttaa käsittelyn päätyttyä kaikki tulokset rekisterinpitäjälle eikä enää muutoin käsittele kyseisiä henkilötietoja;

g) palauttaa käsittelyn päätyttyä kaikki tulokset rekisterinpitäjälle eikä enää muutoin käsittele kyseisiä henkilötietoja ja hävittää olemassa olevat jäljennökset, jollei unionin tai jäsenvaltioiden lainsäädännössä edellytetä tietojen säilyttämistä;

h) toimittaa rekisterinpitäjälle ja valvontaviranomaiselle kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen valvontaa varten.

h) toimittaa rekisterinpitäjälle kaikki tiedot osoittaakseen tässä artiklassa säädettyjen velvollisuuksien noudattamisen ja sallii tarkastukset paikan päällä.

3. Rekisterinpitäjän ja henkilötietojen käsittelijän on tallennettava kirjallisesti 2 artiklassa tarkoitetut rekisterinpitäjän antamat ohjeet ja rekisterinpitäjän velvollisuudet.

3. Rekisterinpitäjän ja henkilötietojen käsittelijän on tallennettava kirjallisesti 2 artiklassa tarkoitetut rekisterinpitäjän antamat ohjeet ja rekisterinpitäjän velvollisuudet.

 

3 a. Edellä 1 kohdassa tarkoitetut riittävät takeet voidaan näyttää toteen noudattamalla käytännesääntöjä tai sertifiointimekanismeja asetuksen 38 ja 39 artiklan mukaisesti.

4. Jos henkilötietojen käsittelijä käsittelee muita kuin rekisterinpitäjän määräämiä henkilötietoja, käsittelijää on pidettävä kyseisen käsittelyn osalta rekisterinpitäjänä ja käsittelijään on sovellettava 24 artiklassa vahvistettuja, yhteisiä rekisterinpitäjiä koskevia sääntöjä.

4. Jos henkilötietojen käsittelijä käsittelee muita kuin rekisterinpitäjän määräämiä henkilötietoja tai jos henkilötietojen käsittelijästä tulee tietojen käsittelyn tarkoitukset ja keinot määrittelevä osapuoli, käsittelijää on pidettävä kyseisen käsittelyn osalta rekisterinpitäjänä ja käsittelijään on sovellettava 24 artiklassa vahvistettuja, yhteisiä rekisterinpitäjiä koskevia sääntöjä.

5. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin henkilötietojen käsittelijän vastuualueita, velvollisuuksia ja tehtäviä koskevat kriteerit ja vaatimukset 1 kohdan mukaisesti, sekä edellytykset, joiden nojalla voidaan helpottaa yritysryhmässä erityisesti seuranta- ja raportointitarkoituksessa suoritettavaa henkilötietojen käsittelyä.

 

Tarkistus       122

Ehdotus asetukseksi

28 artikla

Komission teksti

Tarkistus

Asiakirjat

Asiakirjat

1. Jokaisen rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on säilytettävä asiakirjat kaikista vastuullaan tapahtuvista tietojenkäsittelytoimista.

1. Jokaisen rekisterinpitäjän ja henkilötietojen käsittelijän on säilytettävä säännöllisesti päivitetyt asiakirjat, jotka ovat tarpeen asetuksessa vahvistettujen vaatimusten täyttämiseksi.

2. Asiakirjoissa on oltava vähintään seuraavat tiedot:

2. Lisäksi kukin rekisterinpitäjä ja henkilötietojen käsittelijä säilyttää asiakirjat, jossa on seuraavat tiedot:

a) rekisterinpitäjän tai yhteisen rekisterinpitäjän tai henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan nimi ja yhteystiedot;

a) rekisterinpitäjän tai yhteisen rekisterinpitäjän tai henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan nimi ja yhteystiedot;

b) mahdollisen tietosuojavastaavan nimi ja yhteystiedot;

b) mahdollisen tietosuojavastaavan nimi ja yhteystiedot;

c) henkilötietojen käsittelyn tarkoitukset, mukaan lukien rekisterinpitäjän oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;

 

d) kuvaus rekisteröityjen ryhmistä ja niihin liittyvistä tietoryhmistä;

 

e) henkilötietojen vastaanottajat tai vastaanottajien ryhmät, mukaan lukien ne rekisterinpitäjät, joille henkilötietoja luovutetaan niiden oikeutettujen etujen vuoksi;

e) niiden mahdollisten rekisterinpitäjien nimi ja yhteystiedot, joille henkilötietoja luovutetaan;

f) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia takeita koskevat asiakirjat, jos kyseessä on 44 artiklan 1 kohdan h alakohdassa tarkoitettu siirto;

 

g) yleinen maininta eri tietoryhmien poistamisen määräajoista;

 

h) kuvaus 22 artiklan 3 kohdassa tarkoitetuista mekanismeista.

 

3. Rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyydettäessä esitettävä asiakirjat valvontaviranomaiselle.

 

4. Edellä 1 ja 2 kohdassa tarkoitetut velvollisuudet eivät koske seuraavia rekisterinpitäjiä ja henkilötietojen käsittelijöitä:

Poistetaan.

a) luonnollinen henkilö, joka käsittelee henkilötietoja ilman kaupallista tarkoitusta;

 

b) yritys tai organisaatio, jonka palveluksessa on alle 250 työntekijää ja joka käsittelee henkilötietoja ainoastaan pääasiallisen toimintansa aputoimintona.

 

5. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritetään 1 kohdassa tarkoitettuja asiakirjoja koskevat kriteerit ja vaatimukset, jotta voidaan ottaa huomioon erityisesti rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan vastuualueet.

 

6. Komissio voi laatia vakiolomakkeet 1 kohdassa tarkoitettuja asiakirjoja varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus  123

Ehdotus asetukseksi

29 artikla – 1 kohta

Komission teksti

Tarkistus

1. Rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi, erityisesti antamalla 53 artiklan 2 kohdan a alakohdassa tarkoitetut tiedot ja sallimalla kyseisen kohdan b alakohdassa tarkoitettu pääsy.

1. Rekisterinpitäjän ja mahdollisen henkilötietojen käsittelijän sekä rekisterinpitäjän edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi, erityisesti antamalla 53 artiklan 2 kohdan a alakohdassa tarkoitetut tiedot ja sallimalla kyseisen kohdan b alakohdassa tarkoitettu pääsy.

Tarkistus  124

Ehdotus asetukseksi

30 artikla

Komission teksti

Tarkistus

Käsittelyn turvallisuus

Käsittelyn turvallisuus

1. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen käsittelyn ja suojattavien henkilötietojen luonteeseen liittyviin riskeihin nähden asianmukainen turvallisuustaso, ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset.

1. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen käsittelyn riskeihin nähden asianmukainen turvallisuustaso, ottaen huomioon 33 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin tulokset sekä uusin tekniikka ja toimenpiteiden toteuttamiskustannukset.

 

1 a. Ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset näiden turvallisuuskäytäntöjen on katettava:

 

a) kyky taata, että henkilötietojen eheys on vahvistettu;

 

b) kyky taata henkilötietoja käsittelevien järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

 

c) kyky palauttaa nopeasti tietojen saatavuus ja käytettävyys tilanteessa, jossa fyysinen tai tekninen vika rajoittaa tietojärjestelmien ja -palveluiden saatavuutta, eheyttä ja luottamuksellisuutta;

 

d) kun on kyse 8 ja 9 artiklassa tarkoitetuista arkaluonteisista henkilötiedoista, täydentävät turvatoimet, joilla lisätään tietoisuutta riskeistä, sekä kyky toteuttaa lähes reaaliaikaisesti ehkäiseviä, korjaavia ja lieventäviä toimenpiteitä sellaisia alttiuksia tai ongelmia vastaan, jotka voivat aiheuttaa riskejä tiedoille;

 

e) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti käytössä olevien turvallisuuskäytänteiden, -menettelyjen ja -suunnitelmien tehokkuutta niiden jatkuvan toimivuuden varmistamiseksi.

2. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskinarvioinnin pohjalta 1 kohdassa tarkoitetut toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta tai vahingossa tapahtuvalta häviämiseltä sekä lainvastaisen käsittelyn ja erityisesti luvattoman luovuttamisen, levittämisen tai tiedonsaannin taikka henkilötietojen muuttamisen estämiseksi.

2. Edellä 1 kohdassa tarkoitetuilla toimenpiteillä on vähintään

 

a) varmistettava, että henkilötietoja pääsee käsittelemään vain siihen luvan saanut henkilöstö oikeudellisesti perusteltua tarkoitusta varten;

 

b) suojattava tallennetut tai siirretyt henkilötiedot vahingossa tapahtuvalta tai laittomalta tuhoamiselta, vahingossa tapahtuvalta häviämiseltä tai muuttamiselta taikka luvattomalta tai lainvastaiselta säilyttämiseltä, käsittelyltä, käytöltä tai luovuttamiselta; ja

 

c) varmistettava henkilötietojen käsittelyä koskevien turvallisuusmenetelmien toteuttaminen.

 

3. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja teknisiä ja organisatorisia toimenpiteitä koskevat kriteerit ja edellytykset, kuten se, mikä on uusin tekniikka, eri aloja ja erilaisia tietojenkäsittelytilanteita varten, ottaen erityisesti huomioon teknologian kehitys ja sisäänrakennettua ja oletusarvoista tietosuojaa koskevat ratkaisut, paitsi jos sovelletaan 4 kohtaa.

3. Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa 1 ja 2 kohdassa tarkoitettuja teknisiä ja organisatorisia toimenpiteitä koskevat suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan 1 kohdan b alakohdan mukaisesti, kuten se, mikä on uusin tekniikka, eri aloja ja erilaisia tietojenkäsittelytilanteita varten, ottaen erityisesti huomioon teknologian kehitys ja sisäänrakennettua ja oletusarvoista tietosuojaa koskevat ratkaisut.

4. Komissio voi tarvittaessa antaa täytäntöönpanosäädöksiä, joissa määritellään 1 ja 2 kohdassa vahvistettujen vaatimusten soveltaminen eri tilanteissa, kuten

 

a) henkilötietojen luvattoman saannin estämiseksi;

 

b) henkilötietojen luvattoman luovuttamisen, lukemisen, jäljentämisen, muuttamisen, poistamisen tai siirtämisen estämiseksi;

 

c) käsittelytoimien lainmukaisuuden todentamiseksi.

 

Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

(Komission tekstin 2 kohdasta tulee parlamentin tarkistuksella osittain b alakohta).

Tarkistus  125

Ehdotus asetukseksi

31 artikla

Komission teksti

Tarkistus

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 tunnin kuluessa sen ilmitulosta. Jos ilmoitusta ei anneta 24 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä valvontaviranomaiselle ilman aiheetonta viivytystä.

2. Henkilötietojen käsittelijän on 26 artiklan 2 kohdan f alakohdan nojalla ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle heti, kun se on tullut ilmi.

2. Käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä, kun se on tullut ilmi.

3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien kyseessä olevien rekisteröityjen ryhmät ja lukumäärät sekä tietueiden ryhmät ja lukumäärät;

a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien kyseessä olevien rekisteröityjen ryhmät ja lukumäärät sekä tietueiden ryhmät ja lukumäärät;

b) ilmoitettava tietosuojavastaavan henkilöllisyys ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

b) ilmoitettava tietosuojavastaavan henkilöllisyys ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c) suositeltava toimenpiteitä, joilla lievennetään henkilötietojen tietoturvaloukkauksen mahdollisia haittavaikutuksia;

c) suositeltava toimenpiteitä, joilla lievennetään henkilötietojen tietoturvaloukkauksen mahdollisia haittavaikutuksia;

d) kuvattava henkilötietojen tietoturvaloukkauksen seurauksia;

d) kuvattava henkilötietojen tietoturvaloukkauksen seurauksia;

e) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta.

e) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja sen vaikutusten lieventämiseksi.

Tiedot voidaan tarvittaessa antaa vaiheittain.

4. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava näiden asiakirjojen pohjalta tarkistaa, että tätä artiklaa on noudatettu. Asiakirjat saavat sisältää ainoastaan kyseistä tarkoitusta varten välttämättömät tiedot.

4. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava näiden asiakirjojen pohjalta tarkistaa, että tätä artiklaa ja 30 artiklaa on noudatettu. Asiakirjat saavat sisältää ainoastaan kyseistä tarkoitusta varten välttämättömät tiedot.

 

4 a. Valvontaviranomaisen on pidettävä julkista rekisteriä ilmoitetuista rikkomustyypeistä.

5. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja tietoturvaloukkauksia koskevat kriteerit ja vaatimukset sekä ne erityiset olosuhteet, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta.

5. Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa 1 ja 2 kohdassa tarkoitettuja tietoturvaloukkauksia ja aiheettoman viivytyksen määrittelyä koskevat suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan 1 kohdan b alakohdan mukaisesti sekä määritellä ne erityiset olosuhteet, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta.

6. Komissio voi vahvistaa valvontaviranomaiselle annettavan vakiomuotoisen ilmoituksen, ilmoitusta koskevat menettelyt sekä 4 kohdassa tarkoitettujen asiakirjojen muodon ja niitä koskevat yksityiskohtaiset säännöt, mukaan lukien määräajat, joihin mennessä niissä olevat tiedot on poistettava. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus  126

Ehdotus asetukseksi

32 artikla

Komission teksti

Tarkistus

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

1. Kun henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojalle tai yksityisyydelle, rekisterinpitäjän on 31 artiklassa tarkoitetun ilmoituksen jälkeen ilmoitettava tietoturvaloukkauksesta myös rekisteröidylle ilman aiheetonta viivytystä.

1. Kun henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojalle, yksityisyydelle, oikeuksille tai oikeutetuille eduille, rekisterinpitäjän on 31 artiklassa tarkoitetun ilmoituksen jälkeen ilmoitettava tietoturvaloukkauksesta myös rekisteröidylle ilman aiheetonta viivytystä.

2. Edellä 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 31 artiklan 3 kohdan b ja c alakohdassa tarkoitetut tiedot ja suositukset.

2. Edellä 1 kohdassa tarkoitetun rekisteröidylle annettavan ilmoituksen on oltava kattava ja siinä on käytettävä selkeää ja yksinkertaista kieltä. Siinä on kuvattava henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 31 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja suositukset sekä tiedot rekisteröidyn oikeuksista, muutoksenhaku mukaan luettuna.

3. Henkilötietojen tietoturvaloukkauksesta ei tarvitse ilmoittaa rekisteröidylle, jos rekisterinpitäjä osoittaa valvontaviranomaista tyydyttävällä tavalla, että se on toteuttanut asianmukaiset tekniset suojatoimenpiteet ja että kyseisiä toimenpiteitä on sovellettu tietoturvaloukkauksen kohteena oleviin henkilötietoihin. Tällaisten teknisten suojatoimenpiteiden avulla tiedot muutetaan sellaiseen muotoon, että ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin.

3. Henkilötietojen tietoturvaloukkauksesta ei tarvitse ilmoittaa rekisteröidylle, jos rekisterinpitäjä osoittaa valvontaviranomaista tyydyttävällä tavalla, että se on toteuttanut asianmukaiset tekniset suojatoimenpiteet ja että kyseisiä toimenpiteitä on sovellettu tietoturvaloukkauksen kohteena oleviin henkilötietoihin. Tällaisten teknisten suojatoimenpiteiden avulla tiedot muutetaan sellaiseen muotoon, että ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin.

4. Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä harkittuaan loukkauksen todennäköisiä haittavaikutuksia, sanotun kuitenkaan rajoittamatta rekisterinpitäjän velvollisuutta ilmoittaa tietoturvaloukkauksesta rekisteröidylle.

4. Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä harkittuaan loukkauksen todennäköisiä haittavaikutuksia, sanotun kuitenkaan rajoittamatta rekisterinpitäjän velvollisuutta ilmoittaa tietoturvaloukkauksesta rekisteröidylle.

5. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset niiden 1 kohdassa tarkoitettujen olosuhteiden määrittämiseksi, joissa henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia henkilötiedoille.

5. Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan 1 kohdan b alakohdan mukaisesti niistä 1 kohdassa tarkoitetuista olosuhteista, joissa henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia henkilötiedoille tai rekisteröidyn yksityisyydelle tai oikeutetuille eduille.

6. Komissio voi vahvistaa 1 kohdassa tarkoitetun, rekisteröidylle tarkoitetun ilmoituksen muodon ja siihen sovellettavat menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus  127

Ehdotus asetukseksi

32 a artikla (uusi)

Komission teksti

Tarkistus

 

32 a artikla

 

Riskin huomioon ottaminen

 

 

1. Rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän on laadittava riskianalyysi suunnitellun tietojenkäsittelyn mahdollisista vaikutuksista rekisteröityjen oikeuksiin ja vapauksiin ja arvioitava, aiheutuuko sen käsittelytoimista erityisiä riskejä.

 

2. Seuraaviin käsittelytoimiin saattaa liittyä erityisiä riskejä:

 

a) käsitellään yli 5 000 rekisteröidyn henkilötietoja 12 kuukauden jakson aikana;

 

b) edellä 9 artiklan 1 kohdassa tarkoitettujen erityisten tietoryhmien, sijaintitietojen taikka lapsia tai työntekijöitä koskevien tietojen käsittely suuren mittakaavan rekisteröintijärjestelmissä;

 

c) profilointi, johon perustuvat toimenpiteet aiheuttavat kyseiselle yksilölle oikeusvaikutuksia tai vaikuttavat häneen vastaavan merkittävällä tavalla;

 

d) terveydenhoidon antamista, epidemiologisia tutkimuksia tai mielisairauksia tai tartuntatauteja koskevia selvityksiä koskevien tietojen käsittely, jos tarkoituksena on toteuttaa tiettyjä yksilöitä koskevia toimenpiteitä tai tehdä heitä koskevia päätöksiä suuressa mittakaavassa;

 

e) yleisölle avoimien alueiden automaattinen valvonta suuressa mittakaavassa;

 

f) muut käsittelytoimet, joita varten vaaditaan tietosuojavastaavan tai valvontaviranomaisen kuulemista 34 artiklan 2 kohdan b alakohdan nojalla;

 

g) jos tietosuojaloukkauksen seuraukset vaikuttavat todennäköisesti haitallisesti rekisteröidyn henkilötietojen, yksityisyyden sekä oikeuksien tai oikeutettujen etujen suojaamiseen;

 

h) rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat sellaisista käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa;

 

i) henkilötietoja asetetaan tietyn joukon saataville, jonka ei voi kohtuudella odottaa olevan rajallinen.

 

3. Riskianalyysin tulosten perusteella

 

a) jos on olemassa 2 kohdan a tai b alakohdassa tarkoitettuja käsittelytoimia, unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien on nimettävä edustaja unionissa 25 artiklassa vahvistettujen edellytysten ja vapautusten mukaisesti;

 

b) jos on olemassa 2 kohdan a, b tai h alakohdassa tarkoitettuja käsittelytoimia, unionin ulkopuolelle sijoittautuneiden rekisterinpitäjän on nimettävä tietosuojavastaava 35 artiklassa vahvistettujen edellytysten ja vapautusten mukaisesti;

 

c) jos on olemassa 2 kohdan a, b, c, d, e, f, g tai h alakohdassa tarkoitettuja käsittelytoimia, rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on toteutettava tietosuojaa koskeva vaikutustenarviointi 33 artiklan mukaisesti;

 

d) jos on olemassa 2 kohdan f alakohdassa tarkoitettuja käsittelytoimia, rekisterinpitäjän on kuultava tietosuojavastaavaa tai, jos tietosuojavastaavaa ei ole nimitetty, valvontaviranomaista 34 artiklan mukaisesti.

 

4. Riskianalyysi tarkistetaan viimeistään vuoden kuluttua tai välittömästi, jos tietojenkäsittelytoimien luonne, laajuus tai tarkoitus muuttuu merkittävästi. Jos rekisterinpitäjä ei 3 kohdan c alakohdan nojalla ole velvollinen toteuttamaan tietosuojaa koskevaa vaikutustenarviointia, riskianalyysi dokumentoidaan.

Tarkistus  128

Ehdotus asetukseksi

IV luku – 3 jakso – otsikko

Komission teksti

Tarkistus

TIETOSUOJAA KOSKEVA VAIKUTUSTENARVIOINTI JA ENNAKKOHYVÄKSYNTÄ

TIETOSUOJAN ELINKAAREN HALLINTA

Tarkistus  129

Ehdotus asetukseksi

33 artikla

Komission teksti

Tarkistus

Tietosuojaa koskeva vaikutustenarviointi

Tietosuojaa koskeva vaikutustenarviointi

1. Jos tietojenkäsittelytoimiin liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi rekisteröidyn oikeuksien ja vapauksien kannalta erityisiä riskejä, rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on laadittava arvio suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.

1. Jos 32 a artiklan 3 kohdassa sitä edellytetään, rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on laadittava arvio suunniteltujen käsittelytoimien vaikutuksista rekisteröityjen oikeuksiin tai vapauksiin ja etenkin henkilötietojen suojaan. Yksi arvio riittää siihen, että voidaan puuttua samanlaisiin käsittelytoimiin, jotka aiheuttavat samanlaisia riskejä.

2. Edellä 1 kohdassa tarkoitettuja erityisiä riskejä voi liittyä erityisesti seuraaviin käsittelytoimiin:

 

a) luonnollisen henkilön henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi hänen taloudellisen tilanteensa, sijaintinsa, terveytensä, henkilökohtaisten mieltymystensä, luotettavuutensa tai käyttäytymisensä analysoimista tai ennakoimista varten automatisoidun tietojenkäsittelyn perusteella sellaisten toimenpiteiden antamista varten, jotka aiheuttavat kyseiselle yksilölle oikeusvaikutuksia tai vaikuttavat häneen merkittävällä tavalla;

 

b) sukupuolielämää, terveyttä, rotua ja etnistä alkuperää tai terveydenhoidon antamista, epidemiologisia tutkimuksia tai mielisairauksia tai tartuntatauteja koskevia selvityksiä koskevien tietojen käsittely, jos tarkoituksena on toteuttaa tiettyjä yksilöitä koskevia toimenpiteitä tai tehdä heitä koskevia päätöksiä suuressa mittakaavassa;

 

c) yleisölle avoimien alueiden valvonta, erityisesti jos käytetään optoelektronisia laitteita (videovalvontaa) suuressa mittakaavassa;

 

d) lapsia tai geneettisiä tai biometrisiä tietoja koskevien henkilötietojen käsittely suuren mittakaavan rekisteröintijärjestelmissä;

 

e) muut käsittelytoimet, joita varten vaaditaan valvontaviranomaisen kuulemista 34 artiklan 2 kohdan b alakohdan nojalla.

 

3. Arvioinnissa on esitettävä vähintään yleinen kuvaus suunnitelluista käsittelytoimista, arvio niihin rekisteröidyn oikeuksien ja vapauksien kannalta liittyvistä riskeistä, toimet joiden avulla riskeihin on tarkoitus puuttua, sekä takeet, suojatoimenpiteet ja keinot, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

3. Arvioinnissa on huomioitava henkilötietojen koko elinkaaren hallinta tietojen keräämisestä niiden poistamiseen. Arvioinnissa on esitettävä vähintään

 

a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista, käsittelyn tarkoituksista ja tarvittaessa rekisterinpitäjän oikeutetuista eduista;

 

b) arvio käsittelytoimien välttämättömyydestä ja oikeasuhteisuudesta tarkoituksiin nähden;

 

c) arvio rekisteröidyn oikeuksiin ja vapauksiin liittyvistä riskeistä, toimen sisältämä tai sen lisäämä syrjinnän riski mukaan luettuna;

 

d) kuvaus toimista, joiden avulla on tarkoitus puuttua riskeihin ja minimoida käsiteltävien henkilötietojen määrä;

 

e) luettelo takeista, suojatoimenpiteistä ja keinoista, joilla varmistetaan henkilötietojen suoja, salanimien käyttö mukaan lukien, ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut;

 

f) yleinen maininta eri tietoryhmien poistamisen määräajoista;

 

h) selvitys siitä, mitä 23 artiklan mukaisia sisäänrakennetun ja oletusarvoisen tietosuojan käytänteitä on toteutettu;

 

i) luettelo henkilötietojen vastaanottajista tai vastaanottajaryhmistä;

 

j) tarvittaessa tiedot henkilötietojen suunnitellusta siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia takeita koskevat asiakirjat, jos kyseessä on 44 artiklan 1 kohdan h alakohdassa tarkoitettu siirto;

 

k) arvio tietojenkäsittelyn kontekstista.

 

3 a. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on nimittänyt tietosuojavastaavan, tämän on osallistuttava vaikutustenarvioinnin laatimiseen.

 

3 b. Arviointi on dokumentoitava ja siinä on asetettava aikataulu säännöllisille 33 a artiklan 1 kohdan mukaisille tietosuojan noudattamisen arvioinneille. Arviointi on päivitettävä ilman aiheetonta viivytystä, jos 33 a artiklassa tarkoitetun tietosuojan noudattamisen arvioinnin tulokset tuovat esiin epäjohdonmukaisuuksia. Rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyydettäessä esitettävä arviointi valvontaviranomaiselle.

4. Rekisterinpitäjän on pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että tämä saa vaikuttaa kaupallisten tai yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.

 

5. Jos rekisterinpitäjä on viranomainen tai julkishallinnon elin ja käsittely perustuu 6 artiklan 1 kohdan c alakohdassa tarkoitettuun lakisääteiseen velvollisuuteen, jonka yhteydessä vahvistetaan käsittelytoimia koskevat säännöt ja menettelyt ja jota säännellään unionin lainsäädännöllä, 1–4 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien aloittamista.

 

6. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja edellytykset sellaisia 1 ja 2 artiklassa tarkoitettuja käsittelytoimia varten, joihin todennäköisesti liittyy erityisiä riskejä, ja 3 artiklassa tarkoitettua arviointia koskevat vaatimukset, mukaan lukien arvioinnin laajennettavuutta, todentamista ja tarkastamista koskevat edellytykset. Tässä yhteydessä komissio harkitsee erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

 

7. Komissio voi täsmentää standardit ja menettelyt 3 artiklassa tarkoitetun arvioinnin toteuttamista, todentamista ja tarkastamista varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

(Komission tekstin 3 kohdasta tulee parlamentin tarkistuksella osittain a, c, d ja e alakohta).

Tarkistus  130

Ehdotus asetukseksi

33 a artikla (uusi)

Komission teksti

Tarkistus

 

33 a artikla

 

Tietosuojasääntöjen noudattamisen tarkastelu

 

1. Rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on tarkasteltava noudattamista vähintään kahden vuoden kuluttua 33 artiklan 1 kohdan mukaisen vaikutustenarvioinnin laatimisesta. Noudattamisen tarkastelussa on osoitettava, että henkilötietojen käsittely tapahtuu tietosuojaa koskevan vaikutustenarvioinnin mukaisesti.

 

2. Noudattamisen tarkastelu on toteutettava säännöllisesti vähintään joka toinen vuosi tai välittömästi, jos käsittelytoimiin liittyvät erityiset riskit muuttuvat.

 

3. Jos noudattamisen tarkastelun tulokset osoittavat noudattamisessa olevan epäjohdonmukaisuuksia, tarkastelussa on annettava suosituksia täysimääräisen noudattamisen saavuttamiseksi.

 

4. Noudattamisen tarkastelu ja siinä esitetyt suositukset dokumentoidaan. Rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyynnöstä esitettävä noudattamisen tarkastelu valvontaviranomaiselle.

 

5. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on nimittänyt tietosuojavastaavan, tämän on osallistuttava noudattamisen tarkasteluun.

Tarkistus  131

Ehdotus asetukseksi

34 artikla

Komission teksti

Tarkistus

Ennakkohyväksyntä ja ennakkokuuleminen

Ennakkokuuleminen

1. Tapauksen mukaan joko rekisterinpitäjän tai henkilötietojen käsittelijän on saatava valvontaviranomaiselta ennen henkilötietojen käsittelyä ennakkohyväksyntä sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja erityisesti siitä rekisteröidyille mahdollisesti aiheutuvien riskien lieventämiseksi, jos rekisterinpitäjä tai henkilötietojen käsittelijä hyväksyy 42 artiklan 2 kohdan d alakohdassa tarkoitettuja sopimuslausekkeita tai ei anna asianmukaisia takeita 42 artiklan 5 kohdassa tarkoitetussa oikeudellisesti sitovassa asiakirjassa siltä osin kuin on kyse henkilötietojen siirrosta kolmanteen maahan tai kansainväliselle järjestölle.

 

2. Rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on ennen henkilötietojen käsittelyä kuultava valvontaviranomaista sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja erityisesti siitä rekisteröidyille mahdollisesti aiheutuvien riskien lieventämiseksi, jos

2. Rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on ennen henkilötietojen käsittelyä kuultava tietosuojavastaavaa tai, jos tietosuojavastaavaa ei ole nimitetty, valvontaviranomaista sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja erityisesti siitä rekisteröidyille mahdollisesti aiheutuvien riskien lieventämiseksi, jos

a) 33 artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelytoimiin todennäköisesti liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi merkittäviä erityisiä riskejä; tai

a) 33 artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelytoimiin todennäköisesti liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi merkittäviä erityisiä riskejä; tai

b) valvontaviranomainen katsoo tarpeelliseksi suorittaa ennakkokuulemisen sellaisten 4 kohdan mukaisesti määriteltyjen käsittelytoimien osalta, joihin todennäköisesti liittyy niiden luonteen, laajuuden ja/tai tarkoitusten vuoksi rekisteröidyn vapauksien ja oikeuksien kannalta erityisiä riskejä.

b) tietosuojavastaava tai valvontaviranomainen katsoo tarpeelliseksi suorittaa ennakkokuulemisen sellaisten 4 kohdan mukaisesti määriteltyjen käsittelytoimien osalta, joihin todennäköisesti liittyy niiden luonteen, laajuuden ja/tai tarkoitusten vuoksi rekisteröidyn vapauksien ja oikeuksien kannalta erityisiä riskejä.

3. Jos valvontaviranomainen katsoo, että suunniteltu käsittely ei ole tämän asetuksen mukaista, etenkin jos riskejä ei ole yksilöity tai lievennetty riittävästi, sen on kiellettävä suunniteltu käsittely ja esitettävä tarvittavat ehdotukset havaittujen puutteiden korjaamiseksi.

3. Jos toimivaltainen valvontaviranomainen määrittelee valtuuksiensa mukaisesti, että suunniteltu käsittely ei ole tämän asetuksen mukaista, etenkin jos riskejä ei ole yksilöity tai lievennetty riittävästi, sen on kiellettävä suunniteltu käsittely ja esitettävä tarvittavat ehdotukset havaittujen puutteiden korjaamiseksi.

4. Valvontaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimista, joiden yhteydessä vaaditaan 2 kohdan b alakohdassa tarkoitettu ennakkokuuleminen. Valvontaviranomaisen on toimitettava tällaiset luettelot Euroopan tietosuojaneuvostolle.

4. Euroopan tietosuojaneuvoston on laadittava ja julkaistava luettelo käsittelytoimista, joiden yhteydessä vaaditaan 2 kohdassa tarkoitettu ennakkokuuleminen.

5. Jos 4 kohdassa tarkoitettu luettelo koskee käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seuraamiseen tai jos toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia ennen kuin se vahvistaa luettelon.

 

6. Rekisterinpitäjän tai henkilötietojen käsittelijän on toimitettava valvontaviranomaiselle 33 artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi ja pyynnöstä muut tarvittavat tiedot, joiden avulla valvontaviranomainen voi arvioida, ovatko käsittelytoimet tämän asetuksen mukaisia, ja arvioida erityisesti riskejä rekisteröidyn henkilötietojen suojan kannalta ja tähän liittyviä takeita.

6. Rekisterinpitäjän tai henkilötietojen käsittelijän on toimitettava valvontaviranomaiselle pyynnöstä 33 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi ja pyynnöstä muut tarvittavat tiedot, joiden avulla valvontaviranomainen voi arvioida, ovatko käsittelytoimet tämän asetuksen mukaisia, ja arvioida erityisesti riskejä rekisteröidyn henkilötietojen suojan kannalta ja tähän liittyviä takeita.

7. Jäsenvaltioiden on kuultava valvontaviranomaista, kun ne valmistelevat kansallisen parlamentin hyväksyntää varten lainsäädäntöä tai tällaiseen lainsäädäntöön perustuvaa toimenpidettä, jossa määritellään käsittelyn luonne, sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja että erityisesti rekisteröidyille mahdollisesti aiheutuvia riskejä lievennetään.

7. Jäsenvaltioiden on kuultava valvontaviranomaista, kun ne valmistelevat kansallisen parlamentin hyväksyntää varten lainsäädäntöä tai tällaiseen lainsäädäntöön perustuvaa toimenpidettä, jossa määritellään käsittelyn luonne, sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja että erityisesti rekisteröidyille mahdollisesti aiheutuvia riskejä lievennetään.

8. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset 2 kohdan a alakohdassa tarkoitettujen merkittävien riskien määrittämistä varten.

 

9. Komissio voi laatia vakiolomakkeet ja -menettelyt sekä 1 ja 2 kohdassa tarkoitettua ennakkohyväksyntää ja -kuulemista että 6 kohdassa tarkoitettua valvontaviranomaisille tehtävää ilmoitusta varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus       132

Ehdotus asetukseksi

35 artikla

Komission teksti

Tarkistus

Tietosuojavastaavan nimittäminen

Tietosuojavastaavan nimittäminen

1. Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun

1. Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun

a) tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin; tai

a) tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin; tai

b) tietojenkäsittelyä suorittaa yritys, jossa on vähintään 250 työntekijää; tai

b) tietojenkäsittelyä suorittaa oikeushenkilö, jonka toiminnan kohteena on yli 5 000 henkilöä 12 kuukauden jaksolla; tai

c) rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat sellaisista käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.

c) rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat sellaisista käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai

 

d) rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat 9 artiklan 1 kohdan mukaisten erityisten tietoryhmien, sijaintitietojen taikka lapsia tai työntekijöitä koskevien tietojen käsittelystä suuren mittakaavan rekisteröintijärjestelmissä.

2. Edellä 1 kohdan b alakohdassa tarkoitetussa tapauksessa yritysryhmä voi nimittää vain yhden tietosuojavastaavan.

2. Yritysryhmä voi nimittää päävastuussa olevan tietosuojavastaavan edellyttäen, että on varmistettu, että jokaisesta toimipaikasta voidaan ottaa helposti yhteyttä tietosuojavastaavaan.

3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin, tietosuojavastaava voidaan nimittää sen useampaa yksikköä varten, kyseisen viranomaisen tai elimen organisaatiorakenne huomioon ottaen.

3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin, tietosuojavastaava voidaan nimittää sen useampaa yksikköä varten, kyseisen viranomaisen tai elimen organisaatiorakenne huomioon ottaen.

4. Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä edustavat yhdistykset ja muut elimet voivat nimittää tietosuojavastaavan.

4. Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä edustavat yhdistykset ja muut elimet voivat nimittää tietosuojavastaavan.

5. Rekisterinpitäjän tai henkilötietojen käsittelijän on tietosuojavastaavaa nimitettäessä otettava huomioon ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus sekä valmiudet suorittaa 37 artiklassa tarkoitetut tehtävät. Tarvittavan erityisasiantuntemuksen taso määräytyy etenkin rekisterinpitäjän ja henkilötietojen käsittelijän suorittaman tietojenkäsittelyn ja käsiteltävien tietojen edellyttämän suojan perusteella.

5. Rekisterinpitäjän tai henkilötietojen käsittelijän on tietosuojavastaavaa nimitettäessä otettava huomioon ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus sekä valmiudet suorittaa 37 artiklassa tarkoitetut tehtävät. Tarvittavan erityisasiantuntemuksen taso määräytyy etenkin rekisterinpitäjän ja henkilötietojen käsittelijän suorittaman tietojenkäsittelyn ja käsiteltävien tietojen edellyttämän suojan perusteella.

6. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaavan muut ammatilliset velvollisuudet voidaan sovittaa yhteen tietosuojavastaavan tehtävien ja velvollisuuksien kanssa eturistiriitoja aiheuttamatta.

6. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaavan muut ammatilliset velvollisuudet voidaan sovittaa yhteen tietosuojavastaavan tehtävien ja velvollisuuksien kanssa eturistiriitoja aiheuttamatta.

7. Rekisterinpitäjän tai henkilötietojen käsittelijän on nimitettävä tietosuojavastaava vähintään kahden vuoden ajaksi. Tietosuojavastaava voidaan nimittää tehtäväänsä uudelleen. Tietosuojavastaava voidaan erottaa toimestaan vain jos hän ei enää täytä tehtäviensä suorittamisen edellyttämiä vaatimuksia.

7. Rekisterinpitäjän tai henkilötietojen käsittelijän on nimitettävä tietosuojavastaava vähintään neljän vuoden ajaksi, jos kyse on työntekijästä, tai kahden vuoden ajaksi, jos kyse on ulkoisesta palveluntuottajasta. Tietosuojavastaava voidaan nimittää tehtäväänsä uudelleen. Tietosuojavastaava voidaan erottaa toimestaan vain, jos hän ei enää täytä tehtäviensä suorittamisen edellyttämiä vaatimuksia.

8. Rekisterinpitäjä tai henkilötietojen käsittelijä voi ottaa tietosuojavastaavan palvelukseensa tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.

8. Rekisterinpitäjä tai henkilötietojen käsittelijä voi ottaa tietosuojavastaavan palvelukseensa tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.

9. Rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava tietosuojavastaavan nimi ja yhteystiedot valvontaviranomaiselle ja yleisölle.

9. Rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava tietosuojavastaavan nimi ja yhteystiedot valvontaviranomaiselle ja yleisölle.

10. Rekisteröidyillä on oikeus ottaa yhteyttä tietosuojavastaavaan kaikissa tietojensa käsittelyyn liittyvissä asioissa ja pyytää saada käyttää tähän asetukseen perustuvia oikeuksiaan.

10. Rekisteröidyillä on oikeus ottaa yhteyttä tietosuojavastaavaan kaikissa tietojensa käsittelyyn liittyvissä asioissa ja pyytää saada käyttää tähän asetukseen perustuvia oikeuksiaan.

11. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan c alakohdassa tarkoitettuja rekisterinpitäjän ja henkilötietojen käsittelijän keskeisiä tehtäviä koskevat kriteerit ja vaatimukset sekä 5 kohdassa tarkoitettua tietosuojavastaavan ammattipätevyyttä koskevat vaatimukset.

 

Tarkistus  133

Ehdotus asetukseksi

36 artikla

Komission teksti

Tarkistus

Tietosuojavastaavan asema

Tietosuojavastaavan asema

1. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

1. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava täyttää velvollisuutensa ja tehtävänsä riippumattomasti eikä ota vastaan ohjeita tehtäviensä hoitamisen yhteydessä. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän johdolle.

2. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava täyttää velvollisuutensa ja tehtävänsä riippumattomasti eikä ota vastaan ohjeita tehtäviensä hoitamisen yhteydessä. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän toimeenpanevalle johtoelimelle. Rekisterinpitäjä ja henkilötietojen käsittelijä nimittävät tätä tarkoitusta varten yrityksen toimeenpanevaan johtoelimeen jäsenen, jolla on vastuu tämän asetuksen säännösten noudattamisesta.

3. Rekisterinpitäjän tai henkilötietojen käsittelijän on tuettava tietosuojavastaavaa tämän tehtävien suorittamisessa ja annettava tälle henkilöstö, toimitilat, varusteet ja muut resurssit, jotka ovat tarpeen 37 artiklassa tarkoitettujen velvollisuuksien ja tehtävien täyttämistä varten.

3. Rekisterinpitäjän tai henkilötietojen käsittelijän on tuettava tietosuojavastaavaa tämän tehtävien suorittamisessa ja annettava tälle kaikki välineet, mukaan lukien henkilöstö, toimitilat, varusteet ja muut resurssit, jotka ovat tarpeen 37 artiklassa tarkoitettujen velvollisuuksien ja tehtävien täyttämistä sekä ammattipätevyyden ylläpitämistä varten.

 

4. Tietosuojavastaavia sitoo salassapitovelvollisuus rekisteröityjen henkilöllisyydestä ja tilanteista, joissa rekisteröidyt ovat tunnistettavissa, paitsi jos rekisteröity on vapauttanut heidät tästä velvoitteesta.

Tarkistus  134

Ehdotus asetukseksi

37 artikla

Komission teksti

Tarkistus

Tietosuojavastaavan tehtävät

Tietosuojavastaavan tehtävät

1. Rekisterinpitäjän tai henkilötietojen käsittelijän on osoitettava tietosuojavastaavalle ainakin seuraavat tehtävät:

Rekisterinpitäjän tai henkilötietojen käsittelijän on osoitettava tietosuojavastaavalle ainakin seuraavat tehtävät:

a) antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen mukaisia velvollisuuksia, sekä dokumentoida tämä toiminta ja saadut vastaukset;

a) lisätä tietoisuutta, antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen mukaisia, erityisesti teknisiin ja organisatorisiin toimenpiteisiin ja menettelyihin liittyviä velvollisuuksia, sekä dokumentoida tämä toiminta ja saadut vastaukset;

b) seurata rekisterinpitäjän tai henkilötietojen käsittelijän henkilötietojen suojaan liittyvien toimintamenetelmien täytäntöönpanoa ja soveltamista, kuten vastuunjakoa, käsittelyyn osallistuvan henkilöstön koulutusta ja tarkastuksia;

b) seurata rekisterinpitäjän tai henkilötietojen käsittelijän henkilötietojen suojaan liittyvien toimintamenetelmien täytäntöönpanoa ja soveltamista, kuten vastuunjakoa, käsittelyyn osallistuvan henkilöstön koulutusta ja tarkastuksia;

c) seurata tämän asetuksen täytäntöönpanoa ja soveltamista ja erityisesti sisäänrakennettuun tietosuojaan, oletusarvoiseen tietosuojaan ja tietoturvallisuuteen liittyviä vaatimuksia sekä rekisteröidylle ilmoittamista ja rekisteröityjen esittämiä pyyntöjä, jotka koskevat tähän asetukseen pohjautuvien oikeuksien käyttöä;

c) seurata tämän asetuksen täytäntöönpanoa ja soveltamista ja erityisesti sisäänrakennettuun tietosuojaan, oletusarvoiseen tietosuojaan ja tietoturvallisuuteen liittyviä vaatimuksia sekä rekisteröidylle ilmoittamista ja rekisteröityjen esittämiä pyyntöjä, jotka koskevat tähän asetukseen pohjautuvien oikeuksien käyttöä;

d) varmistaa, että 28 artiklassa tarkoitetut asiakirjat säilytetään;

d) varmistaa, että 28 artiklassa tarkoitetut asiakirjat säilytetään;

e) seurata 31 ja 32 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksiin liittyvien asiakirjojen säilyttämistä ja tietoturvaloukkauksista ilmoittamista;

e) seurata 31 ja 32 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksiin liittyvien asiakirjojen säilyttämistä ja tietoturvaloukkauksista ilmoittamista;

f) seurata tietosuojaa koskevan vaikutustenarvioinnin laatimista rekisterinpitäjän tai henkilötietojen käsittelijän toimesta sekä ennakkohyväksynnän tai ennakkokuulemisen soveltamista, jos ne vaaditaan 33 ja 34 artiklan nojalla;

f) seurata tietosuojaa koskevan vaikutustenarvioinnin laatimista rekisterinpitäjän tai henkilötietojen käsittelijän toimesta sekä ennakkokuulemisen soveltamista, jos se vaaditaan 32 a, 33 ja 34 artiklan nojalla;

g) seurata valvontaviranomaisen pyyntöihin vastaamista ja tietosuojavastaavan toimivaltuuksien mukaisesti tehdä yhteistyötä valvontaviranomaisen kanssa jälkimmäisen pyynnöstä tai tietosuojavastaavan omasta aloitteesta;

g) seurata valvontaviranomaisen pyyntöihin vastaamista ja tietosuojavastaavan toimivaltuuksien mukaisesti tehdä yhteistyötä valvontaviranomaisen kanssa jälkimmäisen pyynnöstä tai tietosuojavastaavan omasta aloitteesta;

h) toimia valvontaviranomaisen yhteyspisteenä tietojenkäsittelyyn liittyvissä kysymyksissä ja tarvittaessa kuulla valvontaviranomaista tietosuojavastaavan omasta aloitteesta.

h) toimia valvontaviranomaisen yhteyspisteenä tietojenkäsittelyyn liittyvissä kysymyksissä ja tarvittaessa kuulla valvontaviranomaista tietosuojavastaavan omasta aloitteesta;

 

i) varmistaa, että noudatetaan tätä asetusta 34 artiklassa vahvistetun ennakkokuulemisen mekanismin mukaisesti;

 

j) tiedottaa työntekijöiden edustajille työntekijöitä koskevasta tietojenkäsittelystä.

2. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitetut tietosuojavastaavan tehtäviä, sertifiointia, asemaa, toimivaltuuksia ja resursseja koskevat kriteerit ja vaatimukset.

 

Tarkistus  135

Ehdotus asetukseksi

38 artikla

Komission teksti

Tarkistus

Käytännesäännöt

Käytännesäännöt

1. Jäsenvaltioiden, valvontaviranomaisten ja komission on edistettävä sellaisten käytännesääntöjen laatimista, joiden avulla tuetaan tämän asetuksen asianmukaista soveltamista, ottaen huomioon tietojenkäsittelyn eri sektorien erityispiirteet ja erityisesti seuraavat seikat:

1. Jäsenvaltioiden, valvontaviranomaisten ja komission on edistettävä sellaisten käytännesääntöjen laatimista tai sellaisten valvontaviranomaisten laatimien käytännesääntöjen hyväksymistä, joiden avulla tuetaan tämän asetuksen asianmukaista soveltamista, ottaen huomioon tietojenkäsittelyn eri sektorien erityispiirteet ja erityisesti seuraavat seikat:

a) tietojenkäsittelyn oikeudenmukaisuus ja läpinäkyvyys;

a) tietojenkäsittelyn oikeudenmukaisuus ja läpinäkyvyys;

 

a a) kuluttajan oikeuksien kunnioittaminen;

b) tietojen kerääminen;

b) tietojen kerääminen;

c) yleisölle ja rekisteröidyille tarkoitettu tiedotus;

c) yleisölle ja rekisteröidyille tarkoitettu tiedotus;

d) rekisteröityjen pyynnöt, jotka koskevat heille kuuluvien oikeuksien käyttöä;

d) rekisteröityjen pyynnöt, jotka koskevat heille kuuluvien oikeuksien käyttöä;

e) lapsille tarkoitettu tiedotus ja lasten suojelu;

e) lapsille tarkoitettu tiedotus ja lasten suojelu;

f) tietojen siirtäminen kolmansiin maihin tai kansainvälisille järjestöille;

f) tietojen siirtäminen kolmansiin maihin tai kansainvälisille järjestöille;

g) mekanismit, joiden avulla seurataan ja varmistetaan, että rekisterinpitäjät noudattavat niitä koskevia käytännesääntöjä;

g) mekanismit, joiden avulla seurataan ja varmistetaan, että rekisterinpitäjät noudattavat niitä koskevia käytännesääntöjä;

h) tuomioistuinten ulkopuoliset ja muut riidanratkaisumenettelyt henkilötietojen käsittelyä koskevien kiistojen ratkaisemiseksi rekisterinpitäjien ja rekisteröityjen välillä, 73–75 artiklaan perustuvia rekisteröityjen oikeuksia rajoittamatta.

h) tuomioistuinten ulkopuoliset ja muut riidanratkaisumenettelyt henkilötietojen käsittelyä koskevien kiistojen ratkaisemiseksi rekisterinpitäjien ja rekisteröityjen välillä, 73–75 artiklaan perustuvia rekisteröityjen oikeuksia rajoittamatta.

2. Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä jossakin jäsenvaltiossa ja jotka aikovat laatia käytännesääntöjä tai muuttaa tai laajentaa voimassa olevia käytännesääntöjä, voivat esittää ne kyseisen jäsenvaltion valvontaviranomaiselle lausunnon saamista varten. Valvontaviranomainen voi antaa lausunnon siitä, onko käytännesääntöjen luonnos tai muutos tämän asetuksen mukainen. Valvontaviranomaisen on pyydettävä tällaisista luonnoksista rekisteröityjen tai näiden edustajien näkemyksiä.

2. Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä jossakin jäsenvaltiossa ja jotka aikovat laatia käytännesääntöjä tai muuttaa tai laajentaa voimassa olevia käytännesääntöjä, voivat esittää ne kyseisen jäsenvaltion valvontaviranomaiselle lausunnon saamista varten. Valvontaviranomaisen on annettava ilman aiheetonta viivytystä lausunto siitä, onko käytännesääntöjen luonnoksen tai muutoksen mukainen käsittely tämän asetuksen mukaista. Valvontaviranomaisen on pyydettävä tällaisista luonnoksista rekisteröityjen tai näiden edustajien näkemyksiä.

3. Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä useissa jäsenvaltioissa, voivat esittää käytännesääntöjen luonnokset tai voimassa olevien käytännesääntöjen tarkistus- tai laajennusehdotukset komissiolle.

3. Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä useissa jäsenvaltioissa, voivat esittää käytännesääntöjen luonnokset tai voimassa olevien käytännesääntöjen tarkistus- tai laajennusehdotukset komissiolle.

4. Komissio voi antaa täytäntöönpanosäädöksiä, joissa se toteaa, että sille 3 kohdan nojalla esitetyt käytännesäännöt tai voimassa olevien käytännesääntöjen tarkistukset tai laajennukset ovat yleisesti päteviä unionissa. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4. Komissiolle siirretään valta antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen 86 artiklan mukaisesti delegoituja säädöksiä, joissa se toteaa, että sille 3 kohdan nojalla esitetyt käytännesäännöt tai voimassa olevien käytännesääntöjen tarkistukset tai laajennukset ovat tämän asetuksen mukaisia sekä yleisesti päteviä unionissa. Näillä delegoiduilla säädöksillä annetaan rekisteröidyille täytäntöönpanokelpoisia oikeuksia.

5. Komissio huolehtii niiden käytännesääntöjen asianmukaisesta julkaisemisesta, jotka se on todennut yleisesti päteviksi 4 kohdan mukaisesti.

5. Komissio huolehtii niiden käytännesääntöjen asianmukaisesta julkaisemisesta, jotka se on todennut yleisesti päteviksi 4 kohdan mukaisesti.

Tarkistus  136

Ehdotus asetukseksi

39 artikla

Komission teksti

Tarkistus

Sertifiointi

Sertifiointi

1. Jäsenvaltiot ja komissio edistävät tietosuojaa koskevien sertifiointimekanismien sekä tietosuojasinettien ja -merkkien käyttöönottoa erityisesti unionin tasolla, jotta rekisteröidyt voivat nopeasti arvioida rekisterinpitäjien ja henkilötietojen käsittelijöiden tarjoaman tietosuojan tasoa. Nämä tietosuojaa koskevat sertifiointimekanismit edistävät tämän asetuksen asianmukaista soveltamista, tietojenkäsittelyn eri sektorien ja erilaisten käsittelytoimien erityispiirteet huomioon ottaen.

 

 

1 a. Rekisterinpitäjä tai henkilötietojen käsittelijä voi pyytää mitä tahansa unionissa toimivaa valvontaviranomaista myöntämään kohtuullista, hallintokulut huomioon ottavaa maksua vastaan sertifioinnin, jossa vahvistetaan, että henkilötietojen käsittely on tämän asetuksen ja etenkin 5, 23 ja 30 artiklassa vahvistettujen periaatteiden, rekisterinpitäjän ja henkilötietojen käsittelijän vastuiden ja rekisteröidyn oikeuksien mukaista.

 

1 b. Sertifioinnin on oltava vapaaehtoista, kohtuuhintaista ja helposti saatavilla sellaisen menettelyn perusteella, joka on avoin ja jolla ei aiheuteta kohtuutonta taakkaa.

 

1 c. Valvontaviranomaisten ja Euroopan tietosuojaneuvoston on tehtävä yhteistyötä keskenään 57 artiklan yhdenmukaisuusmekanismin puitteissa taatakseen tietosuojaa koskevan sertifiointimekanismin yhtenäisyyden koko unionissa, yhtenäiset maksut mukaan lukien.

 

1 d. Valvontaviranomainen voi tämän sertifiointimenettelyn aikana valtuuttaa tarkastuksiin erikoistuneita kolmansia osapuolia suorittamaan lukuunsa rekisterinpitäjän tai henkilötietojen käsittelijän tarkastuksen. Tarkastuksiin erikoistuneilla kolmansilla osapuolilla on oltava riittävästi pätevää henkilöstä, niiden on oltava puolueettomia eikä niillä saa olla niiden tehtäviin liittyviä eturistiriitoja. Valvontaviranomaisten on peruutettava hyväksyntä, jos on syytä olettaa, että tarkastaja ei toteuta tehtäviään asianmukaisesti. Valvontaviranomainen myöntää lopullisen sertifioinnin.

 

1 e. Valvontaviranomaiset myöntävät niille rekisterinpitäjille ja henkilötietojen käsittelijöille, joiden on sertifioinnin yhteydessä todettu käsittelevän henkilötietoja tämän asetuksen mukaisesti, vakiomallisen tietosuojamerkin eli "eurooppalaisen tietosuojasinetin".

 

1 f. "Eurooppalainen tietosuojasinetti" on voimassa niin kauan kuin sertifioidun rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimet ovat kaikilta osin tämän asetuksen mukaisia.

 

1 g. Sen estämättä, mitä 1 f kohdassa säädetään, sertifiointi on voimassa enintään viisi vuotta.

 

1 h. Euroopan tietosuojaneuvoston on perutettava julkinen sähköinen rekisteri, josta ovat nähtävissä kaikki jäsenvaltiossa myönnetyt voimassa olevat ja pätemättömät sertifioinnit.

 

1 i. Euroopan tietosuojaneuvosto voi omasta aloitteestaan myöntää sertifioinnin, että tietosuojaa parantava tekninen standardi on tämän asetuksen mukainen.

2. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitettuja tietosuojaa koskevia sertifiointimekanismeja koskevat kriteerit ja vaatimukset, mukaan lukien niiden myöntämistä ja peruuttamista koskevat edellytykset sekä vaatimukset niiden tunnustamiseksi unionissa ja kolmansissa maissa.

2. Siirretään komissiolle valta antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen ja sidosryhmiä ja etenkin yrityksiä ja valtiosta riippumattomia järjestöjä kuultuaan 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan a–h alakohdassa tarkoitettuja tietosuojaa koskevia sertifiointimekanismeja koskevat kriteerit ja vaatimukset, mukaan lukien tarkastajien hyväksymistä koskevat vaatimukset, myöntämistä ja peruuttamista koskevat edellytykset sekä vaatimukset niiden tunnustamiseksi unionissa ja kolmansissa maissa. Näillä delegoiduilla säädöksillä annetaan rekisteröidyille täytäntöönpanokelpoisia oikeuksia.

3. Komissio voi vahvistaa tekniset standardit sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä varten ja menettelyt niiden edistämiseksi ja tunnustamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus  137

Ehdotus asetukseksi

41 artikla

Komission teksti

Tarkistus

Siirto tietosuojan tason riittävyyttä koskevan päätöksen perusteella

Siirto tietosuojan tason riittävyyttä koskevan päätöksen perusteella

1. Siirto voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kyseinen kansainvälinen järjestö tarjoaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erillistä lupaa.

1. Siirto voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kyseinen kansainvälinen järjestö tarjoaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.

2. Arvioidessaan tietosuojan riittävyyttä komissio ottaa huomioon seuraavat seikat:

2. Arvioidessaan tietosuojan riittävyyttä komissio ottaa huomioon seuraavat seikat:

a) oikeusvaltioperiaate, voimassa oleva yleinen ja alakohtainen lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä ammatillisia sääntöjä ja suojatoimia, joita kyseisessä maassa tai kansainvälisessä järjestössä noudatetaan, sekä tehokkaat ja täytäntöönpanokelpoiset oikeudet, kuten tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot rekisteröityjä ja erityisesti niitä unionin alueella asuvia rekisteröityjä varten, joiden tietoja siirretään;

a) oikeusvaltioperiaate, voimassa oleva yleinen ja alakohtainen lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta, tämän lainsäädännön täytäntöönpanoa sekä ammatillisia sääntöjä ja suojatoimia, joita kyseisessä maassa tai kansainvälisessä järjestössä noudatetaan, oikeudelliset ennakkotapaukset sekä tehokkaat ja täytäntöönpanokelpoiset oikeudet, kuten tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot rekisteröityjä ja erityisesti niitä unionin alueella asuvia rekisteröityjä varten, joiden tietoja siirretään;

b) se, onko kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisesta, tarjoaa rekisteröidyille apua ja neuvoja oikeuksien käyttämisessä ja tekee yhteistyötä EU:n ja jäsenvaltioiden valvontaviranomaisten kanssa; ja

b) se, onko kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisesta, myös riittävistä seuraamuksia koskevista valtuuksista, tarjoaa rekisteröidyille apua ja neuvoja oikeuksien käyttämisessä ja tekee yhteistyötä EU:n ja jäsenvaltioiden valvontaviranomaisten kanssa; ja

c) kyseisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset.

c) kyseisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset ja erityisesti henkilötietojen suojaa koskevat oikeudelliset sitovat yleissopimukset tai säädökset.

3. Komissio voi päättää, että kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kansainvälinen järjestö tarjoaa 2 kohdassa tarkoitetun riittävän tietosuojan tason. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

3. Komissiolle siirretään valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa päätetään, että kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kansainvälinen järjestö tarjoaa 2 kohdassa tarkoitetun riittävän tietosuojan tason. Näissä delegoiduissa säädöksissä on raukeamislauseke, jos ne koskevat tietojenkäsittelyn sektoria, ja ne peruutetaan 5 kohdan mukaisesti heti, kun tämän asetuksen mukaista riittävän tasoista tietosuojaa ei enää voida varmistaa.

4. Täytäntöönpanosäädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja mahdollisuuksien mukaan nimetään 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen.

4. Delegoidussa säädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja mahdollisuuksien mukaan nimitetään 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen.

 

4 a. Komissio seuraa jatkuvasti kehitystä, joka saattaa vaikuttaa 2 kohdassa lueteltujen elementtien täytäntöönpanoon kolmansissa maissa ja kansainvälisissä järjestöissä, joissa 3 kohdan mukainen delegoitu säädös on saatettu voimaan.

5. Komissio voi päättää, että kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kansainvälinen järjestö ei tarjoa tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, varsinkin jos kolmannen maan tai kansainvälisen järjestön yleisessä ja alakohtaisessa lainsäädännössä ei taata rekisteröidyille ja erityisesti niille unionin alueella asuville rekisteröidyille, joiden tietoja siirretään, tehokkaita ja täytäntöönpanokelpoisia oikeuksia, tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot mukaan lukien. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen tai, jos yksilön oikeus henkilötietojen suojaan sitä kiireellisesti edellyttää, 87 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen.

5. Komissiolle siirretään valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa päätetään, että kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kansainvälinen järjestö ei tarjoa tai ei enää tarjoa tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, varsinkin jos kolmannen maan tai kansainvälisen järjestön yleisessä ja alakohtaisessa lainsäädännössä ei taata rekisteröidyille ja erityisesti niille unionin alueella asuville rekisteröidyille, joiden tietoja siirretään, tehokkaita ja täytäntöönpanokelpoisia oikeuksia, tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot mukaan lukien.

6. Jos komissio päättää 5 kohdan nojalla kieltää kaikki henkilötietojen siirrot kolmanteen maahan tai kyseisen kolmannen maan alueelle tai tietojenkäsittelyn sektorille tai kansainväliselle järjestölle, tämä päätös ei rajoita 42–44 artiklan soveltamista. Komissio aloittaa sopivalla hetkellä neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa 5 kohdan mukaisesti tehdystä päätöksestä aiheutuneen tilanteen korjaamiseksi.

6. Jos komissio päättää 5 kohdan nojalla kieltää kaikki henkilötietojen siirrot kolmanteen maahan tai kyseisen kolmannen maan alueelle tai tietojenkäsittelyn sektorille tai kansainväliselle järjestölle, tämä päätös ei rajoita 42–44 artiklan soveltamista. Komissio aloittaa sopivalla hetkellä neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa 5 kohdan mukaisesti tehdystä päätöksestä aiheutuneen tilanteen korjaamiseksi.

 

6 a. Komissio pyytää ennen delegoidun säädöksen antamista 3 tai 5 kohdan mukaisesti Euroopan tietosuojaneuvostolta lausunnon tietosuojan riittävästä tasosta. Sitä varten komissio toimittaa Euroopan tietosuojaneuvostolle kaikki välttämättömät asiakirjat, mukaan lukien kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön kanssa käyty kirjeenvaihto.

7. Komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon niistä kolmansista maista, kolmannen maan alueista ja tietojenkäsittelyn sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei ole riittävä.

7. Komissio julkaisee Euroopan unionin virallisessa lehdessä ja verkkosivustollaan luettelon niistä kolmansista maista, kolmannen maan alueista ja tietojenkäsittelyn sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei ole riittävä.

8. Päätökset, jotka komissio on tehnyt direktiivin 95/46/EY 25 artiklan 6 kohdan tai 26 artiklan 4 kohdan nojalla, pysyvät voimassa, kunnes komissio muuttaa niitä tai korvaa tai kumoaa ne.

8. Päätökset, jotka komissio on tehnyt direktiivin 95/46/EY 25 artiklan 6 kohdan tai 26 artiklan 4 kohdan nojalla, pysyvät voimassa viisi vuotta asetuksen voimaantulosta, jollei komissio muuta niitä tai korvaa tai kumoa ne ennen tämän kauden päättymistä.

Tarkistus  138

Ehdotus asetukseksi

42 artikla

Komission teksti

Tarkistus

Siirto asianmukaisten takeiden perusteella

Siirto asianmukaisten takeiden perusteella

1. Jos komissio ei ole tehnyt päätöstä 41 artiklan nojalla, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on antanut oikeudellisesti sitovassa välineessä asianmukaiset takeet, joilla varmistetaan henkilötietojen suoja.

1. Jos komissio ei ole tehnyt päätöstä 41 artiklan nojalla tai päättää, että jokin kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai jokin kansainvälinen järjestö ei varmista riittävää tietosuojan tasoa 41 artiklan 5 kohdan nojalla, rekisterinpitäjä tai henkilötietojen käsittelijä ei voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, jollei kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä ole antanut oikeudellisesti sitovassa välineessä asianmukaisia takeita, joilla varmistetaan henkilötietojen suoja.

2. Edellä 1 kohdassa tarkoitettuja asianmukaisia takeita ovat erityisesti seuraavat:

2. Edellä 1 kohdassa tarkoitettuja asianmukaisia takeita ovat erityisesti seuraavat:

a) 43 artiklassa tarkoitetut yritystä koskevat sitovat säännöt; tai

a) 43 artiklassa tarkoitetut yritystä koskevat sitovat säännöt; tai

 

a a) rekisterinpitäjän ja vastaanottajan 39 artiklan 1 kohdan e alakohdan mukainen voimassa oleva "eurooppalainen tietosuojasinetti"; tai

b) komission hyväksymät tietosuojaa koskevat vakiolausekkeet; nämä täytäntöönpanosäännökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen; tai

 

c) tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa 57 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti, jos komissio toteaa ne 62 artiklan 1 kohdan b alakohdan nojalla yleisesti päteviksi; tai

c) tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa 57 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti, jos komissio toteaa ne 62 artiklan 1 kohdan b alakohdan nojalla yleisesti päteviksi; tai

d) rekisterinpitäjän tai henkilötietojen käsittelijän ja tietojen vastaanottajan väliset sopimuslausekkeet, jotka valvontaviranomainen on vahvistanut 4 kohdan mukaisesti.

d) rekisterinpitäjän tai henkilötietojen käsittelijän ja tietojen vastaanottajan väliset sopimuslausekkeet, jotka valvontaviranomainen on vahvistanut 4 kohdan mukaisesti.

3. Siirrot, jotka perustuvat tietosuojaa koskeviin vakiolausekkeisiin tai 2 kohdan a–c alakohdassa tarkoitettuihin yritystä koskeviin sitoviin sääntöihin, eivät tarvitse muuta hyväksyntää.

3. Siirrot, jotka perustuvat tietosuojaa koskeviin vakiolausekkeisiin, eurooppalaiseen tietosuojasinettiin tai 2 kohdan a, a a tai c alakohdassa tarkoitettuihin yritystä koskeviin sitoviin sääntöihin, eivät tarvitse erityistä hyväksyntää.

4. Jos siirto perustuu tämän artiklan 2 kohdan d alakohdassa tarkoitettuihin sopimuslausekkeisiin, rekisterinpitäjän tai henkilötietojen käsittelijän on saatava sopimuslausekkeille valvontaviranomaisen ennakkohyväksyntä 34 artiklan 1 kohdan mukaisesti. Jos siirto liittyy käsittelytoimiin, jotka kohdistuvat toisessa jäsenvaltiossa tai toisissa jäsenvaltioissa asuviin rekisteröityihin, tai jos toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia.

4. Jos siirto perustuu tämän artiklan 2 kohdan d alakohdassa tarkoitettuihin sopimuslausekkeisiin, rekisterinpitäjän tai henkilötietojen käsittelijän on saatava sopimuslausekkeille valvontaviranomaisen ennakkohyväksyntä. Jos siirto liittyy käsittelytoimiin, jotka kohdistuvat toisessa jäsenvaltiossa tai toisissa jäsenvaltioissa asuviin rekisteröityihin, tai jos toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia.

5. Jos henkilötietojen suojaa koskevia asianmukaisia takeita ei anneta oikeudellisesti sitovassa välineessä, rekisterinpitäjän tai henkilötietojen käsittelijän on saatava ennakkohyväksyntä siirrolle tai siirtojen sarjalle tai säännöksille, jotka sisällytetään tällaisen siirron perusteet muodostaviin hallinnollisiin järjestelyihin. Valvontaviranomainen antaa tämän ennakkohyväksynnän 34 artiklan 1 kohdan mukaisesti. Jos siirto liittyy käsittelytoimiin, jotka kohdistuvat toisessa jäsenvaltiossa tai toisissa jäsenvaltioissa asuviin rekisteröityihin, tai jos toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia. Ennakkohyväksynnät, jotka valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa, kunnes valvontaviranomainen muuttaa niitä tai korvaa tai kumoaa ne.

5. Ennakkohyväksynnät, jotka valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa kaksi vuotta tämän asetuksen voimaantulosta, jollei valvontaviranomainen muuta niitä tai korvaa tai kumoa ne ennen tämän kauden päättymistä.

Tarkistus       139

Ehdotus asetukseksi

43 artikla

Komission teksti

Tarkistus

Siirto yritystä koskevien sitovien sääntöjen perusteella

Siirto yritystä koskevien sitovien sääntöjen perusteella

1. Valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 58 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos

1. Valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 58 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos

a) säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin rekisterinpitäjän tai henkilötietojen käsittelijän yritysryhmän jäseniin, niiden työntekijät mukaan lukien, ja kaikki nämä yksiköt myös panevat säännöt täytäntöön;

a) säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin rekisterinpitäjän yritysryhmän jäseniin ja niihin ulkoisiin alihankkijoihin, jotka kuuluvat yritystä koskevien sitovien sääntöjen soveltamisalaan, niiden työntekijät mukaan lukien, ja kaikki nämä yksiköt myös panevat säännöt täytäntöön;

b) säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia oikeuksia;

b) säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia oikeuksia;

c) säännöt täyttävät 2 kohdassa säädetyt vaatimukset.

c) säännöt täyttävät 2 kohdassa säädetyt vaatimukset.

 

1 a. Mitä tulee työntekijöiden tietoihin, työntekijöiden edustajille on ilmoitettava 43 artiklan mukaisten yritystä koskevien sitovien sääntöjen laadinnasta ja niiden on unionin tai jäsenvaltion lainsäädännön ja käytännön mukaisesti oltava mukana laadinnassa.

2. Yritystä koskevissa sitovissa säännöissä on täsmennettävä vähintään seuraavat seikat:

2. Yritystä koskevissa sitovissa säännöissä on täsmennettävä vähintään seuraavat seikat:

a) yritysryhmän ja sen jäsenten rakenne ja yhteystiedot;

a) yritysryhmän ja sen jäsenten sekä niiden ulkopuolisten alihankkijoiden rakenne ja yhteystiedot, jotka kuuluvat yritystä koskevien sitovien sääntöjen soveltamisalaan;

b) tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietojen ryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse;

b) tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietojen ryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse;

c) sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella;

c) sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella;

d) yleiset tietosuojaperiaatteet, erityisesti käsittelytarkoituksen rajoittaminen, tietojen laatu, käsittelyn oikeusperusta, arkaluonteisten henkilötietojen käsittely; toimenpiteet tietoturvan varmistamiseksi; ja vaatimukset tietojen siirtämiseksi edelleen järjestöille, joita nämä menettelyt eivät sido;

d) yleiset tietosuojaperiaatteet, erityisesti käsittelytarkoituksen rajoittaminen, tietojen minimointi, rajoitettu säilytysaika, tietojen laatu, sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja, käsittelyn oikeusperusta, arkaluonteisten henkilötietojen käsittely; toimenpiteet tietoturvan varmistamiseksi; ja vaatimukset tietojen siirtämiseksi edelleen järjestöille, joita nämä menettelyt eivät sido;

e) rekisteröityjen oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta 20 artiklassa tarkoitetun profilointiin perustuvan toimenpiteen kohteeksi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 75 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi;

e) rekisteröityjen oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta 20 artiklassa tarkoitetun profilointiin perustuvan toimenpiteen kohteeksi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 75 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi;

f) jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän on sitouduttava kantamaan vastuu siitä, että jokin yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain jos rekisterinpitäjä tai henkilötietojen käsittelijä osoittaa, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta;

f) jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän on sitouduttava kantamaan vastuu siitä, että jokin yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain jos rekisterinpitäjä osoittaa, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta;

g) se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 11 artiklan mukaisesti;

g) se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 11 artiklan mukaisesti;

h) edellä olevan 35 artiklan mukaisesti nimitetyn tietosuojavastaavan tehtävät, mukaan lukien yritystä koskevien sitovien sääntöjen noudattamisen valvonta yritysryhmässä, sekä koulutuksen ja valitusten käsittelyn seuranta;

h) edellä olevan 35 artiklan mukaisesti nimitetyn tietosuojavastaavan tehtävät, mukaan lukien yritystä koskevien sitovien sääntöjen noudattamisen valvonta yritysryhmässä, sekä koulutuksen ja valitusten käsittelyn seuranta;

i) mekanismit, joiden avulla yritysryhmässä pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen tarkistetaan;

i) mekanismit, joiden avulla yritysryhmässä pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen tarkistetaan;

j) mekanismit toimintamenetelmiin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten;

j) mekanismit toimintamenetelmiin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten;

k) yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki yritysryhmän jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön tämän kohdan i alakohdassa tarkoitettujen toimenpiteiden tarkistamisen tulokset.

k) yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki yritysryhmän jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön tämän kohdan i alakohdassa tarkoitettujen toimenpiteiden tarkistamisen tulokset.

3. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin tässä artiklassa tarkoitettuja yritystä koskevia sitovia sääntöjä koskevat kriteerit ja vaatimukset, erityisesti kriteerit niiden hyväksymiselle ja 2 kohdan b, d, e ja f alakohdan soveltamiselle henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin sekä muut tarvittavat vaatimukset asianomaisille rekisteröidyille kuuluvien henkilötietojen suojan varmistamiseksi.

3. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin tässä artiklassa tarkoitettuja yritystä koskevia sitovia sääntöjä koskeva muoto, menettelyt, kriteerit ja vaatimukset, erityisesti kriteerit niiden hyväksymiselle, mukaan lukien läpinäkyvyys rekisteröidyille, ja 2 kohdan b, d, e ja f alakohdan soveltamiselle henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin sekä muut tarvittavat vaatimukset asianomaisille rekisteröidyille kuuluvien henkilötietojen suojan varmistamiseksi.

4. Komissio voi vahvistaa muodon ja menettelyt rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä koskevista sitovista säännöistä sähköisin keinoin käytävää tietojenvaihtoa varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

Tarkistus  140

Ehdotus asetukseksi

43 a artikla (uusi)

Komission teksti

Tarkistus

 

43 a artikla

 

Siirrot ja luovutukset, joita ei sallita unionin lainsäädännössä

 

1. Mitään sellaista kolmannen maan tuomioistuimen tuomiota tai hallintoviranomaisen päätöstä, joka edellyttää, että rekisterinpitäjän tai henkilötietojen käsittelijän on luovutettava henkilötietoja, ei millään tavoin tunnusteta tai katsota täytäntöönpanokelpoiseksi, sanotun kuitenkaan rajoittamatta pyynnön esittäneen kolmannen maan ja unionin tai jäsenvaltion välistä voimassa olevaa keskinäistä oikeudellista avunantoa koskevaa sopimusta tai kansainvälistä sopimusta.

 

2. Jos kolmannen maan tuomioistuimen ratkaisussa tai hallinnollisen viranomaisen päätöksessä pyydetään rekisterinpitäjää tai henkilötietojen käsittelijää luovuttamaan henkilötietoja, rekisterinpitäjän tai henkilötietojen käsittelijän ja rekisterinpitäjän mahdollisen edustajan on ilman aiheetonta viivästystä ilmoitettava esitetystä pyynnöstä valvontaviranomaiselle sekä saatava siirrolle tai luovutukselle valvontaviranomaisen ennakkohyväksyntä.

 

3. Valvontaviranomaisen on arvioitava pyydetyn tietojen luovuttamisen yhdenmukaisuutta tämän asetuksen kanssa ja erityisesti luovuttamisen tarpeellisuutta tai oikeudellista välttämättömyyttä 44 artiklan 1 kohdan d ja e alakohtien ja 44 artiklan 5 kohdan mukaisesti. Jos vaikutukset koskevat toisten jäsenvaltioiden rekisteröityjä, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia.

 

4. Valvontaviranomaisen on ilmoitettava pyynnöstä toimivaltaiselle kansalliselle viranomaiselle. Rekisterinpitäjän tai henkilötietojen käsittelijän on myös ilmoitettava rekisteröidyille pyynnöstä ja valvontaviranomaisen antamasta hyväksynnästä ja tarvittaessa siitä, toimitettiinko viranomaisille henkilötietoja edeltävän 12 kuukauden jakson aikana 14 artiklan 1 kohdan h a alakohdan mukaisesti, sanotun kuitenkaan rajoittamatta 21 artiklan soveltamista.

Tarkistus  141

Ehdotus asetukseksi

44 artikla

Komission teksti

Tarkistus

Poikkeukset

Poikkeukset

1. Jos 41 artiklan nojalla ei ole tehty tietosuojan tason riittävyyttä koskevaa päätöstä tai 42 artiklassa tarkoitettuja asianmukaisia takeita ei ole annettu, henkilötietojen siirto tai siirtojen sarja kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain sillä edellytyksellä, että

1. Jos 41 artiklan nojalla ei ole tehty tietosuojan tason riittävyyttä koskevaa päätöstä tai 42 artiklassa tarkoitettuja asianmukaisia takeita ei ole annettu, henkilötietojen siirto tai siirtojen sarja kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain sillä edellytyksellä, että

a) rekisteröity on suostunut ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu riskeistä, joita tällaisiin siirtoihin liittyy tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten takeiden puuttumisen vuoksi; tai

a) rekisteröity on suostunut ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu riskeistä, joita tällaisiin siirtoihin liittyy tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten takeiden puuttumisen vuoksi; tai

b) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; tai

b) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; tai

c) siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen tai oikeushenkilön välisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi rekisteröidyn edun mukaisesti; tai

c) siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen tai oikeushenkilön välisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi rekisteröidyn edun mukaisesti; tai

d) siirto on tarpeen yleistä etua koskevan tärkeän syyn vuoksi; tai

d) siirto on tarpeen yleistä etua koskevan tärkeän syyn vuoksi; tai

e) siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai

e) siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai

f) siirto on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

f) siirto on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

g) siirto tehdään julkisesta rekisteristä, joka on unionin tai jäsenvaltion lainsäädännön mukaisesti yleisön käytettävissä tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, siltä osin kuin rekisterin käytettävissä olemisen edellytykset, joista säädetään unionin tai jäsenvaltion lainsäädännössä, täyttyvät kussakin yksittäisessä tapauksessa; tai

g) siirto tehdään julkisesta rekisteristä, joka on unionin tai jäsenvaltion lainsäädännön mukaisesti yleisön käytettävissä tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, siltä osin kuin rekisterin käytettävissä olemisen edellytykset, joista säädetään unionin tai jäsenvaltion lainsäädännössä, täyttyvät kussakin yksittäisessä tapauksessa.

h) siirto on tarpeen sellaisten rekisterinpitäjän tai henkilötietojen käsittelijän oikeutettujen etujen toteuttamiseksi, joita ei voida pitää toistuvina tai laajamittaisina, kun rekisterinpitäjä tai henkilötietojen käsittelijä on arvioinut kaikkia tiettyyn tiedonsiirtoon tai siirtojen sarjaan liittyviä olosuhteita ja on tämän arvioinnin pohjalta tarvittaessa antanut henkilötietojen suojaa koskevat asianmukaiset takeet.

 

2. Edellä olevan 1 kohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietojen ryhmiä. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

2. Edellä olevan 1 kohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietojen ryhmiä. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

3. Jos käsittely perustuu 1 kohdan h alakohtaan, rekisterinpitäjän tai henkilötietojen käsittelijän on kiinnitettävä erityistä huomiota tietojen luonteeseen sekä ehdotetun käsittelytoimen tai ehdotettujen käsittelytoimien tarkoitukseen ja kestoon sekä tilanteeseen tietojen alkuperämaassa, kolmannessa maassa ja lopullisessa kohdemaassa, ja annettava tarvittaessa henkilötietojen suojaa koskevat asianmukaiset takeet.

 

4. Edellä olevan 1 kohdan b, c ja h alakohtaa ei sovelleta toimiin, joita viranomaiset suorittavat osana julkisen vallan käyttöä.

4. Edellä olevan 1 kohdan b ja c alakohtaa ei sovelleta toimiin, joita viranomaiset suorittavat osana julkisen vallan käyttöä.

5. Edellä 1 kohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin lainsäädännössä tai sen jäsenvaltion lainsäädännössä, jota rekisterinpitäjään sovelletaan.

5. Edellä 1 kohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin lainsäädännössä tai sen jäsenvaltion lainsäädännössä, jota rekisterinpitäjään sovelletaan.

6. Rekisterinpitäjän tai henkilötietojen käsittelijän on tallennettava sekä arviointi että tämän artiklan 1 kohdan h alakohdassa tarkoitetut asianmukaiset takeet 28 artiklassa tarkoitettuihin asiakirjoihin ja ilmoitettava siirrosta valvontaviranomaiselle.

 

7. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan d alakohdassa tarkoitetut tärkeät julkista etua koskevat syyt sekä 1 kohdan h alakohdassa tarkoitettuja asianmukaisia takeita koskevat kriteerit ja vaatimukset.

7. Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan 1 kohdan b alakohdan mukaisesti, jotta voidaan määritellä tarkemmin tietosiirtoja koskevat kriteerit ja vaatimukset 1 kohdan mukaisesti.

Tarkistus  142

Ehdotus asetukseksi

45 artikla – 1 kohta – a alakohta

Komission teksti

Tarkistus

a) kehitetään tehokkaita kansainvälisiä yhteistyökeinoja, joilla edistetään henkilötietojen suojaamista koskevan lainsäädännön täytäntöönpanoa;

a) kehitetään tehokkaita kansainvälisiä yhteistyökeinoja, joilla taataan henkilötietojen suojaamista koskevan lainsäädännön täytäntöönpano;

Tarkistus  143

Ehdotus asetukseksi

45 artikla – 1 kohta – d a alakohta (uusi)

Komission teksti

Tarkistus

 

d a) selkeytetään oikeudellisia ristiriitoja kolmansien maiden kanssa ja neuvotellaan niistä.

Tarkistus  144

Ehdotus asetukseksi

45 a artikla (uusi)

Komission teksti

Tarkistus

 

45 a artikla

 

Komission kertomus

 

Komissio toimittaa Euroopan parlamentille ja neuvostolle säännöllisesti kertomuksen 40–45 artiklan soveltamisesta. Ensimmäinen kertomus toimitetaan viimeistään neljä vuotta 91 artiklan 1 kohdassa mainitun päivämäärän jälkeen. Tätä varten komissio voi pyytää jäsenvaltioilta ja valvontaviranomaisilta tietoja, jotka on toimitettava ilman aiheetonta viivytystä. Kertomus julkaistaan.

Tarkistus  145

Ehdotus asetukseksi

47 artikla – 1 kohta

Komission teksti

Tarkistus

1. Valvontaviranomainen hoitaa tehtäviään ja käyttää sille annettuja valtuuksia täysin riippumattomasti.

1. Valvontaviranomainen hoitaa tehtäviään ja käyttää sille annettuja valtuuksia täysin riippumattomasti ja puolueettomasti tämän rajoittamatta tämän asetuksen VII luvun mukaisia yhteistyöhön ja yhdenmukaisuuteen liittyviä menettelyjä.

Tarkistus  146

Ehdotus asetukseksi

47 artikla – 7 a kohta (uusi)

Komission teksti

Tarkistus

 

7 a. Jäsenvaltioiden on varmistettava, että valvontaviranomainen on vastuussa kansalliselle parlamentille talousarvion valvontaan liittyvistä syistä.

Tarkistus  147

Ehdotus asetukseksi

50 artikla

Komission teksti

Tarkistus

Vaitiolovelvollisuus

Vaitiolovelvollisuus

Valvontaviranomaisen jäsenillä ja henkilöstöllä on sekä toimikautensa aikana että sen jälkeen velvollisuus pitää salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä suorittamisen yhteydessä.

Valvontaviranomaisen jäsenillä ja henkilöstöllä on sekä toimikautensa aikana että sen jälkeen velvollisuus pitää kansallisen lainsäädännön ja käytäntöjen mukaisesti salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä suorittamisen yhteydessä, ja heidän on suoritettava tehtävänsä riippumattomasti ja läpinäkyvästi asetuksen mukaisesti.

Tarkistus       148

Ehdotus asetukseksi

51 artikla – 1 kohta

Komission teksti

Tarkistus

1. Jokainen valvontaviranomainen käyttää sille tämän asetuksen mukaisesti annettua toimivaltaa oman jäsenvaltionsa alueella.

1. Jokainen valvontaviranomainen on toimivaltainen hoitamaan tehtäviä ja käyttämään sille tämän asetuksen mukaisesti annettua toimivaltaa oman jäsenvaltionsa alueella, sanotun kuitenkaan rajoittamatta 73 ja 74 artiklan soveltamista. Ainoastaan kyseisen jäsenvaltion valvontaviranomainen valvoo viranomaisen tietojenkäsittelyä.

Tarkistus  149

Ehdotus asetukseksi

51 artikla – 2 kohta

Komission teksti

Tarkistus

2. Jos henkilötietojen käsittely suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa, ja kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon, rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan valvontaviranomaisella on toimivalta valvoa rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintaa kaikissa jäsenvaltioissa, tämän asetuksen VII luvun säännösten soveltamista kuitenkaan rajoittamatta.

Poistetaan.

Tarkistus  150

Ehdotus asetukseksi

52 artikla – 1 kohta – b alakohta

Komission teksti

Tarkistus

b) käsittelee rekisteröidyn tai tätä 73 artiklan mukaisesti edustavan yhdistyksen tekemiä valituksia, tutkii mahdollisuuksien mukaan asiaa ja ilmoittaa rekisteröidylle tai yhdistykselle asian etenemisestä sekä valitusta koskevasta ratkaisustaan kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

b) käsittelee rekisteröidyn tai 73 artiklan mukaisen yhdistyksen tekemiä valituksia, tutkii mahdollisuuksien mukaan asiaa ja ilmoittaa rekisteröidylle tai yhdistykselle asian etenemisestä sekä valitusta koskevasta ratkaisustaan kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

Tarkistus  151

Ehdotus asetukseksi

52 artikla – 1 kohta – d alakohta

Komission teksti

Tarkistus

d) suorittaa tutkimuksia omasta aloitteestaan tai valituksen perusteella tai toisen valvontaviranomaisen pyynnöstä ja, jos rekisteröity on tehnyt valituksen tälle valvontaviranomaiselle, ilmoittaa rekisteröidylle tutkimusten tuloksesta kohtuullisen ajan kuluessa;

d) suorittaa tutkimuksia omasta aloitteestaan tai valituksen tai väitetysti lainvastaisesta käsittelystä saatujen tarkkojen ja dokumentoitujen tietojen perusteella tai toisen valvontaviranomaisen pyynnöstä ja, jos rekisteröity on tehnyt valituksen tälle valvontaviranomaiselle, ilmoittaa rekisteröidylle tutkimusten tuloksesta kohtuullisen ajan kuluessa;

Tarkistus  152

Ehdotus asetukseksi

52 artikla – 1 kohta – j a alakohta (uusi)

Komission teksti

Tarkistus

 

j a) myöntää sertifioinnin rekisterinpitäjille ja henkilötietojen käsittelijöille 39 artiklan mukaisesti.

Tarkistus  153

Ehdotus asetukseksi

52 artikla – 2 kohta

Komission teksti

Tarkistus

2. Kaikkien valvontaviranomaisten on edistettävä henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, takeista ja oikeuksista tiedottamista kansalaisille. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin.

2. Kaikkien valvontaviranomaisten on edistettävä henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, takeista ja oikeuksista ja henkilötietosuojaa koskevista toimenpiteistä tiedottamista kansalaisille. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin.

Tarkistus  154

Ehdotus asetukseksi

52 artikla – 2 a kohta (uusi)

Komission teksti

Tarkistus

 

2 a. Kaikkien valvontaviranomaisten on yhdessä Euroopan tietosuojaneuvoston kanssa edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, takeista ja oikeuksista. Tämä kattaa seuraamusten ja rikkomisten rekisterin pitämisen. Rekisterissä olisi oltava sekä kaikki varoitukset ja seuraamukset mahdollisimman yksityiskohtaisesti että rikkomusten ratkaisu. Jokaisen valvontaviranomaisen on annettava mikroyritysten ja pienten ja keskisuurten yritysten rekisterinpitäjille ja henkilötietojen käsittelijöille pyynnöstä yleisiä tietoja niiden vastuista ja velvollisuuksista tämän asetuksen mukaisesti.

Tarkistus  155

Ehdotus asetukseksi

52 artikla – 6 kohta

Komission teksti

Tarkistus

6. Jos pyynnöt ovat ilmeisen kohtuuttomia erityisesti toistuvuutensa takia, valvontaviranomainen voi periä maksun pyydetyn toimen suorittamisesta tai jättää pyydetyn toimen suorittamatta. Valvontaviranomaisen on todistettava pyynnön kohtuuttomuus.

6. Jos pyynnöt ovat ilmeisen kohtuuttomia erityisesti toistuvuutensa takia, valvontaviranomainen voi periä kohtuullisen maksun pyydetyn toimen suorittamisesta tai jättää pyydetyn toimen suorittamatta. Kyseinen maksu ei saa ylittää pyydetyn toimen suorittamisesta aiheutuvia kustannuksia. Valvontaviranomaisen on todistettava pyynnön kohtuuttomuus.

Tarkistus  156

Ehdotus asetukseksi

53 artikla

Komission teksti

Tarkistus

Valtuudet

Valtuudet

1. Jokaisella valvontaviranomaisella on valtuudet:

1. Jokaisella valvontaviranomaisella on tämän asetuksen nojalla valtuudet:

a) ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle henkilötietojen käsittelyä koskevien sääntöjen väitetystä rikkomisesta ja tarvittaessa määrätä rekisterinpitäjä tai henkilötietojen käsittelijä korjaamaan tämä rikkominen määrätyllä tavalla rekisteröidyn suojelun parantamiseksi;

a) ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle henkilötietojen käsittelyä koskevien sääntöjen väitetystä rikkomisesta ja tarvittaessa määrätä rekisterinpitäjä tai henkilötietojen käsittelijä korjaamaan tämä rikkominen määrätyllä tavalla rekisteröidyn suojelun parantamiseksi tai velvoittaa rekisterinpitäjä ilmoittamaan henkilötietojen käsittelyä koskevasta rikkomisesta rekisteröidylle;

b) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien oikeuksien käyttöä;

b) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien oikeuksien käyttöä;

c) määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa näiden edustaja antamaan tehtäviensä suorittamiseen liittyvät tarvittavat tiedot;

c) määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa näiden edustaja antamaan tehtäviensä suorittamiseen liittyvät tarvittavat tiedot;

d) varmistaa 34 artiklassa tarkoitetun ennakkohyväksynnän ja ennakkokuulemisen noudattaminen;

d) varmistaa 34 artiklassa tarkoitetun ennakkohyväksynnän ja ennakkokuulemisen noudattaminen;

e) antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle varoitus tai huomautus;

e) antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle varoitus tai huomautus;

f) määrätä sellaisten tietojen oikaisemisesta, poistamisesta tai tuhoamisesta, joita on käsitelty tämän asetuksen säännösten vastaisesti, sekä näistä toimenpiteistä ilmoittamisesta niille kolmansille osapuolille, joille tietoja on luovutettu;

f) määrätä sellaisten tietojen oikaisemisesta, poistamisesta tai tuhoamisesta, joita on käsitelty tämän asetuksen säännösten vastaisesti, sekä näistä toimenpiteistä ilmoittamisesta niille kolmansille osapuolille, joille tietoja on luovutettu;

g) kieltää käsittely väliaikaisesti tai lopullisesti;

g) kieltää käsittely väliaikaisesti tai lopullisesti;

h) keskeyttää tiedonsiirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle;

h) keskeyttää tiedonsiirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle;

i) antaa lausuntoja kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

i) antaa lausuntoja kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

 

i a) myöntää sertifioinnin rekisterinpitäjille ja henkilötietojen käsittelijöille 39 artiklan mukaisesti;

j) tiedottaa kansalliselle parlamentille, hallitukselle tai muille poliittisille elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä.

j) tiedottaa kansalliselle parlamentille, hallitukselle tai muille poliittisille elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

 

j a) toteuttaa tehokkaita mekanismeja asetuksen rikkomista koskevan luottamuksellisen raportoinnin kannustamiseksi Euroopan tietosuojaneuvoston 66 artiklan 4 b kohdan mukainen ohjeistus huomioon ottaen.

2. Jokaisella valvontaviranomaisella on tutkintavaltuudet saada rekisterinpitäjältä tai henkilötietojen käsittelijältä:

2. Jokaisella valvontaviranomaisella on tutkintavaltuudet saada rekisterinpitäjältä tai henkilötietojen käsittelijältä ilman ennakkoilmoitusta:

a) pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten;

a) pääsy kaikkiin henkilötietoihin ja kaikkiin asiakirjoihin ja tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten;

b) pääsy kaikkiin sen tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien, jos on kohtuulliset perusteet olettaa, että siellä suoritetaan tämän asetuksen vastaista toimintaa.

b) pääsy kaikkiin sen tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien.

Edellä b alakohdassa tarkoitettuja valtuuksia on käytettävä unionin ja jäsenvaltion lainsäädännön mukaisesti.

Edellä b alakohdassa tarkoitettuja valtuuksia on käytettävä unionin ja jäsenvaltion lainsäädännön mukaisesti.

3. Jokaisella valvontaviranomaisella on valtuudet saattaa tämän asetuksen vastaiset toimet lainkäyttöviranomaisten tietoon ja käynnistää oikeustoimet, erityisesti 74 artiklan 4 kohdan ja 75 artiklan 2 kohdan mukaisesti.

3. Jokaisella valvontaviranomaisella on valtuudet saattaa tämän asetuksen vastaiset toimet lainkäyttöviranomaisten tietoon ja käynnistää oikeustoimet, erityisesti 74 artiklan 4 kohdan ja 75 artiklan 2 kohdan mukaisesti.

4. Jokaisella valvontaviranomaisella on valtuudet määrätä hallinnollisia seuraamuksia, erityisesti 79 artiklan 4–6 kohdassa tarkoitettuja seuraamuksia.

4. Jokaisella valvontaviranomaisella on valtuudet määrätä hallinnollisia seuraamuksia 79 artiklan mukaisesti. Näitä valtuuksia olisi käytettävä tehokkaasti, oikeasuhteisesti ja varoittavasti.

Tarkistus  157

Ehdotus asetukseksi

54 artikla

Komission teksti

Tarkistus

Jokaisen valvontaviranomaisen on laadittava vuosittain toimintakertomus. Kertomus esitetään kansalliselle parlamentille ja toimitetaan yleisön, komission ja Euroopan tietosuojaneuvoston saataville.

Jokaisen valvontaviranomaisen on laadittava toimintakertomus vähintään joka toinen vuosi. Kertomus esitetään kyseiselle parlamentille ja toimitetaan komissiolle ja Euroopan tietosuojaneuvostolle.

Tarkistus  158

Ehdotus asetukseksi

54 a artikla (uusi)

Komission teksti

Tarkistus

 

54 a artikla

 

Johtava viranomainen

 

1. Jos henkilötietojen käsittely suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa, ja kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon tai jos käsitellään useiden jäsenvaltioiden asukkaiden henkilötietoja, rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan valvontaviranomainen on rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoiminnan valvonnasta vastaava johtava viranomainen kaikissa jäsenvaltioissa tämän asetuksen VII luvun säännösten mukaisesti.

 

2. Johtavan viranomaisen on toteutettava asianmukaisia toimia vastuullaan olevan rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimien valvomiseksi vasta kuultuaan 51 artiklan 1 kohdassa tarkoitettuja muita toimivaltaisia valvontaviranomaisia pyrittäessä pääsemään konsensukseen. Sitä varten johtavan viranomaisen on erityisesti toimitettava kaikki asianomaiset tiedot ja kuultava muita viranomaisia ennen sellaisten toimenpiteiden hyväksymistä, joiden tarkoituksena on tuottaa rekisterinpitäjään tai henkilötietojen käsittelijään kohdistuvia oikeusvaikutuksia 51 artiklan 1 kohdan mukaisesti. Johtavan viranomaisen on otettava huomioon asianomaisten viranomaisten mielipiteet mahdollisimman suuressa määrin. Johtava viranomainen on ainoa viranomainen, jolla on valtuudet päättää toimista, joiden on tarkoitus tuottaa vastuullaan olevan rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimiin kohdistuvia oikeusvaikutuksia.

 

3. Euroopan tietosuojaneuvoston on toimivaltaisen valvontaviranomaisen pyynnöstä annettava lausunto rekisterinpitäjästä tai henkilötietojen käsittelijästä vastuussa olevan johtavan viranomaisen määrittelystä, mikäli

 

a) tapauksen tosiseikkojen perusteella on epäselvää, missä rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikka sijaitsee; tai

 

b) toimivaltaiset viranomaiset eivät pääse yhteisymmärrykseen siitä, mikä toimivaltainen valvontaviranomainen on johtava viranomainen; tai

 

c) rekisterinpitäjä on sijoittautunut unionin ulkopuolelle, ja tämän asetuksen mukaiset käsittelytoimet vaikuttavat eri jäsenvaltioiden asukkaisiin.

 

3 a. Jos rekisterinpitäjä toteuttaa myös henkilötietojen käsittelijän tehtäviä, rekisterinpitäjän päätoimipaikan valvontaviranomainen on johtava viranomainen käsittelytoiminnan valvonnan osalta.

 

4. Euroopan tietosuojaneuvosto voi päättää johtavan viranomaisen nimeämisestä.

(Parlamentin tarkistuksen 1 kohta perustuu komission ehdotuksen 51 artiklan 2 kohtaan).

Tarkistus  159

Ehdotus asetukseksi

55 artikla – 1 kohta

Komission teksti

Tarkistus

1. Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja -kuulemista sekä tarkastusten toteuttamista koskevat pyynnöt, sekä nopea tiedottaminen tutkimusten aloittamisesta ja niiden etenemisestä, jos käsittelytoimet todennäköisesti vaikuttavat useissa eri jäsenvaltioissa asuviin rekisteröityihin.

1. Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja -kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt, sekä nopea tiedottaminen tutkimusten aloittamisesta ja niiden etenemisestä, jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat useissa eri jäsenvaltioissa asuviin rekisteröityihin. Edellä 54 a artiklassa määritellyn johtavan viranomaisen on varmistettava asianomaisten valvontaviranomaisten välinen koordinointi sekä toimittava rekisterinpitäjän tai henkilötietojen käsittelijän yhteyspisteenä.

Tarkistus  160

Ehdotus asetukseksi

55 artikla – 7 kohta

Komission teksti

Tarkistus

7. Keskinäistä avunantoa koskevien pyyntöjen perusteella toteutettavista toimista ei peritä maksua.

7. Keskinäistä avunantoa koskevien pyyntöjen perusteella toteutettavista toimista ei pyynnön esittäneeltä valvontaviranomaiselta peritä maksua.

Tarkistus  161

Ehdotus asetukseksi

55 artikla – 8 kohta

Komission teksti

Tarkistus

8. Jos valvontaviranomainen ei vastaa toisen valvontaviranomaisen esittämään pyyntöön kuukauden kuluessa, pyynnön esittävällä valvontaviranomaisella on toimivalta toteuttaa väliaikainen toimenpide oman jäsenvaltionsa alueella 51 artiklan 1 kohdan mukaisesti, ja sen on esitettävä asia Euroopan tietosuojaneuvostolle 57 artiklassa tarkoitetun menettelyn mukaisesti.

8. Jos valvontaviranomainen ei vastaa toisen valvontaviranomaisen esittämään pyyntöön kuukauden kuluessa, pyynnön esittävällä valvontaviranomaisella on toimivalta toteuttaa väliaikainen toimenpide oman jäsenvaltionsa alueella 51 artiklan 1 kohdan mukaisesti, ja sen on esitettävä asia Euroopan tietosuojaneuvostolle 57 artiklassa tarkoitetun menettelyn mukaisesti. Se voi ryhtyä oman jäsenvaltionsa alueella 53 artiklan mukaisiin väliaikaisiin toimenpiteisiin, mikäli vielä päättymättömän avunannon takia lopullista toimenpidettä ei voida vielä toteuttaa.

Tarkistus  162

Ehdotus asetukseksi

55 artikla – 9 kohta

Komission teksti

Tarkistus

9. Valvontaviranomaisen on täsmennettävä tällaisen väliaikaisen toimenpiteen voimassaoloaika. Tämä voimassaoloaika saa olla enintään kolme kuukautta. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle.

9. Valvontaviranomaisen on täsmennettävä tällaisen väliaikaisen toimenpiteen voimassaoloaika. Tämä voimassaoloaika saa olla enintään kolme kuukautta. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle 57 artiklassa tarkoitetun menettelyn mukaisesti.

Tarkistus  163

Ehdotus asetukseksi

55 artikla – 10 kohta

Komission teksti

Tarkistus

10. Komissio voi vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja Euroopan tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

10. Euroopan tietosuojaneuvosto voi vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja Euroopan tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti 6 kohdassa tarkoitetun vakiolomakkeen.

Tarkistus  164

Ehdotus asetukseksi

56 artikla – 2 kohta

Komission teksti

Tarkistus

2. Jos käsittelytoimet todennäköisesti vaikuttavat useissa eri jäsenvaltioissa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin tutkintatehtäviin tai yhteisiin operaatioihin. Toimivaltainen valvontaviranomainen kutsuu kunkin tällaisen jäsenvaltion valvontaviranomaisen osallistumaan yhteisiin tutkintatehtäviin tai yhteisiin operaatioihin ja vastaa operaatioihin osallistumista koskeviin valvontaviranomaisten pyyntöihin viipymättä.

2. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat useissa eri jäsenvaltioissa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin tutkintatehtäviin tai yhteisiin operaatioihin. Edellä 54 a artiklassa määritelty johtava viranomainen kutsuu kunkin tällaisen jäsenvaltion valvontaviranomaisen osallistumaan yhteisiin tutkintatehtäviin tai yhteisiin operaatioihin ja vastaa operaatioihin osallistumista koskeviin valvontaviranomaisten pyyntöihin viipymättä. Johtava viranomainen toimii rekisterinpitäjän tai henkilötietojen käsittelijän yhteyspisteenä.

Tarkistus  165

Ehdotus asetukseksi

57 artikla

Komission teksti

Tarkistus

Yhdenmukaisuusmekanismi

Yhdenmukaisuusmekanismi

Valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa tässä jaksossa perustettavan yhdenmukaisuusmekanismin välityksellä 46 artiklan 1 kohdassa esitettyjä tarkoituksia varten.

Valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa yhdenmukaisuusmekanismin välityksellä 46 artiklan 1 kohdassa esitettyjä tarkoituksia varten sekä yleisluonteisissa asioissa että yksittäisissä tapauksissa tämän jakson säännösten mukaisesti.

Tarkistus  166

Ehdotus asetukseksi

58 artikla

Komission teksti

Tarkistus

Euroopan tietosuojaneuvoston lausunto

Yhdenmukaisuus yleisluonteisissa asioissa

1. Ennen kuin valvontaviranomainen hyväksyy 2 kohdassa tarkoitetun toimenpiteen, sen on annettava toimenpideluonnos tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle.

1. Ennen kuin valvontaviranomainen hyväksyy 2 kohdassa tarkoitetun toimenpiteen, sen on annettava toimenpideluonnos tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle.

2. Edellä 1 kohdassa säädettyä velvollisuutta sovelletaan toimenpiteisiin, joiden tarkoituksena on tuottaa oikeusvaikutuksia ja

2. Edellä 1 kohdassa säädettyä velvollisuutta sovelletaan toimenpiteisiin, joiden tarkoituksena on tuottaa oikeusvaikutuksia ja

a) jotka koskevat käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seuraamiseen; tai

 

b) jotka saattavat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa; tai

 

c) joiden tarkoituksena on hyväksyä luettelo käsittelytoimista, jotka edellyttävät 34 artiklan 5 kohdassa tarkoitettua ennakkokuulemista; tai

 

d) joiden tarkoituksena on 42 artiklan 2 kohdan c alakohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden määrittäminen; tai

d) joiden tarkoituksena on 42 artiklan 2 kohdan c alakohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden määrittäminen; tai

e) joiden tarkoituksena on 42 artiklan 2 kohdan d alakohdassa tarkoitettujen sopimuslausekkeiden hyväksyminen; tai

e) joiden tarkoituksena on 42 artiklan 2 kohdan d alakohdassa tarkoitettujen sopimuslausekkeiden hyväksyminen; tai

f) joiden tarkoituksena on 43 artiklassa tarkoitettujen yritystä koskevien sitovien sääntöjen hyväksyminen.

f) joiden tarkoituksena on 43 artiklassa tarkoitettujen yritystä koskevien sitovien sääntöjen hyväksyminen.

3. Jokainen valvontaviranomainen tai Euroopan tietosuojaneuvosto voi pyytää minkä tahansa asian käsittelyä yhdenmukaisuusmekanismissa, etenkin jos valvontaviranomainen ei toimita 2 kohdassa tarkoitettua toimenpideluonnosta tai ei noudata keskinäistä avunantoa koskevia velvollisuuksia 55 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 56 artiklan mukaisesti.

3. Jokainen valvontaviranomainen tai Euroopan tietosuojaneuvosto voi pyytää minkä tahansa yleisluonteisen asian käsittelyä yhdenmukaisuusmekanismissa, etenkin jos valvontaviranomainen ei toimita 2 kohdassa tarkoitettua toimenpideluonnosta tai ei noudata keskinäistä avunantoa koskevia velvollisuuksia 55 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 56 artiklan mukaisesti.

4. Komissio voi pyytää minkä tahansa asian käsittelyä yhdenmukaisuusmekanismissa tämän asetuksen asianmukaisen ja yhtenäisen soveltamisen varmistamiseksi.

4. Komissio voi pyytää minkä tahansa yleisluonteisen asian käsittelyä yhdenmukaisuusmekanismissa tämän asetuksen asianmukaisen ja yhtenäisen soveltamisen varmistamiseksi.

5. Valvontaviranomaisten ja komission on toimitettava sähköisesti kaikki tarvittavat tiedot, tarpeen vaatiessa esimerkiksi yhteenveto tosiseikoista, toimenpideluonnos sekä perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, vakiomuodossa.

5. Valvontaviranomaisten ja komission on toimitettava ilman aiheetonta viivytystä sähköisesti kaikki tarvittavat tiedot, tarpeen vaatiessa esimerkiksi yhteenveto tosiseikoista, toimenpideluonnos sekä perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, vakiomuodossa.

6. Euroopan tietosuojaneuvoston puheenjohtajan on ilmoitettava Euroopan tietosuojaneuvoston jäsenille ja komissiolle välittömästi sähköisesti kaikista sille toimitetuista asiaa koskevista tiedoista vakiolomaketta käyttäen. Euroopan tietosuojaneuvoston puheenjohtaja toimittaa tarvittaessa myös käännöksen näistä tiedoista.

6. Euroopan tietosuojaneuvoston puheenjohtajan on ilmoitettava Euroopan tietosuojaneuvoston jäsenille ja komissiolle ilman aiheetonta viivästystä sähköisesti kaikista sille toimitetuista asiaa koskevista tiedoista vakiolomaketta käyttäen. Euroopan tietosuojaneuvoston sihteeristö toimittaa tarvittaessa myös käännöksen näistä tiedoista.

 

6 a. Euroopan tietosuojaneuvosto on annettava lausunto 2 kohdassa tarkoitetuista asioista.

7. Euroopan tietosuojaneuvosto antaa asiasta lausuntonsa viikon kuluessa siitä, kun asiaa koskevat tiedot on toimitettu sille 5 kohdan mukaisesti, jos Euroopan tietosuojaneuvosto niin päättää jäsentensä yksinkertaisella enemmistöllä tai jos joku valvontaviranomainen tai komissio sitä pyytää. Lausunto on vahvistettava kuukauden kuluessa Euroopan tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä. Euroopan tietosuojaneuvoston puheenjohtaja antaa lausunnon ilman aiheetonta viivytystä tiedoksi 1 tai 3 kohdassa tarkoitetulle valvontaviranomaiselle, komissiolle ja 51 artiklan nojalla toimivaltaiselle valvontaviranomaiselle sekä julkaisee sen.

7. Euroopan tietosuojaneuvosto voi päättää yksinkertaisella enemmistöllä, antaako se lausunnon 3 ja 4 kohdan mukaisesti käsiteltäväksi annetuista asioista ottaen huomioon,

 

a) onko asiassa uusia elementtejä ottaen huomioon oikeudellinen tai tilanteen kehitys ja erityisesti tietotekniikassa ja tietoyhteiskunnassa tapahtuvan kehityksen; ja

 

b) onko Euroopan tietosuojaneuvosto jo antanut lausunnon samasta asiasta.

8. Edellä 1 kohdassa tarkoitettu valvontaviranomainen ja 51 artiklan nojalla toimivaltainen valvontaviranomainen ottavat huomioon Euroopan tietosuojaneuvoston lausunnon ja ilmoittavat Euroopan tietosuojaneuvoston puheenjohtajalle ja komissiolle sähköisesti kahden viikon kuluessa siitä, kun Euroopan tietosuojaneuvoston puheenjohtaja on antanut lausunnon tiedoksi, pitäytyvätkö ne toimenpideluonnokseen vai muuttavatko ne sitä, ja toimittavat näille mahdollisesti muutetun toimenpideluonnoksen vakiomuodossa.

8. Euroopan tietosuojaneuvosto antaa lausuntonsa 6 a ja 7 artiklan nojalla jäsentensä yksinkertaisella enemmistöllä. Lausunnot julkistetaan.

Tarkistus       167

Ehdotus asetukseksi

58 a artikla (uusi)

Komission teksti

Tarkistus

 

58 a artikla

 

Yhdenmukaisuus yksittäisissä tapauksissa

 

1. Johtavan viranomaisen on jaettava kaikki asiaa koskevat tiedot ja toimitettava toimenpideluonnos kaikille muille toimivaltaisille viranomaisille ennen sellaisen toimenpiteen toteuttamista, jonka tarkoituksena on tuottaa oikeusvaikutuksia 54 a artiklan mukaisesti. Johtava viranomainen ei saa hyväksyä toimenpidettä, jos toimivaltainen viranomainen on kolmen viikon kuluessa ilmoittanut vastustavansa toimenpidettä painokkaasti.

 

2. Jos toimivaltainen viranomainen on ilmoittanut vastustavansa johtavan viranomaisen toimenpideluonnosta painokkaasti tai jos johtava viranomainen ei toimita 1 kohdassa tarkoitettua toimenpideluonnosta taikka ei noudata keskinäistä avunantoa koskevia velvollisuuksia 55 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 56 artiklan mukaisesti, Euroopan tietoturvaneuvoston on käsiteltävä asia.

 

3. Johtavan viranomaisen ja/tai muiden toimivaltaisten viranomaisten ja komission on toimitettava Euroopan tietoturvaneuvostolle vakiomuodossa ilman aiheetonta viivytystä sähköisesti kaikki tarvittavat tiedot, tapauskohtaisesti esimerkiksi yhteenveto tosiseikoista, toimenpideluonnos, perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, sekä sitä koskevat vastalauseet ja muiden asianomaisten valvontaviranomaisten näkemykset.

 

4. Euroopan tietosuojaneuvoston on käsiteltävä asia ottaen huomioon johtavan viranomaisen toimenpideluonnoksen vaikutukset rekisteröityjen perusoikeuksiin ja -vapauksiin ja päätettävä jäsentensä yksinkertaisella enemmistöllä, antaako se lausunnon asiasta kahden viikon kuluessa siitä, kun asiaa koskevat tiedot on toimitettu sille 3 kohdan mukaisesti.

 

5. Jos Euroopan tietosuojaneuvosto päättää antaa lausunnon, se on annettava lausunto kuuden viikon kuluessa ja julkistettava se.

 

6. Johtavan viranomaisen on otettava Euroopan tietosuojaneuvoston lausunto huomioon mahdollisimman suuressa määrin ja ilmoitettava Euroopan tietosuojaneuvoston puheenjohtajalle ja komissiolle sähköisesti kahden viikon kuluessa siitä, kun Euroopan tietosuojaneuvoston puheenjohtaja on antanut lausunnon tiedoksi, pitäytyykö se toimenpideluonnokseen vai muuttaako se sitä, ja toimittaa näille mahdollisesti muutetun toimenpideluonnoksen vakiomuodossa. Jos johtava viranomainen ei aio noudattaa Euroopan tietosuojaneuvoston lausuntoa, sen on esitettävä perusteltu selitys.

 

7. Jos Euroopan tietosuojaneuvosto edelleen vastustaa 5 kohdassa tarkoitettua valvontaviranomaisen toimenpidettä, se voi kuukauden kuluessa hyväksyä valvontaviranomaista sitovan toimenpiteen, jos kahden kolmasosan enemmistö niin päättää.

Tarkistus  168

Ehdotus asetukseksi

59 artikla

Komission teksti

Tarkistus

59 artikla

Poistetaan.

Komission lausunto

 

1. Komissio voi antaa tämän asetuksen asianmukaisen ja yhtenäisen soveltamisen varmistamiseksi lausunnon 58 tai 61 artiklan nojalla esiin nostetuista asioista, kymmenen viikon kuluessa siitä, kun asia on otettu esiin 58 artiklan mukaisesti, tai kuuden viikon kuluessa siitä, kun asia on otettu esiin 61 artiklan mukaisesti.

 

2. Jos komissio on antanut 1 kohdan mukaisen lausunnon, asianomaisen valvontaviranomaisen on otettava komission lausunto huomioon mahdollisimman suuressa määrin ja ilmoitettava komissiolle ja Euroopan tietosuojaneuvostolle, aikooko se pitäytyä toimenpideluonnokseen vai muuttaa sitä.

 

3. Valvontaviranomainen ei saa hyväksyä toimenpideluonnosta 1 kohdassa tarkoitetun ajan kuluessa.

 

4. Jos valvontaviranomainen ei aio noudattaa komission lausuntoa, sen on ilmoitettava tästä komissiolle ja Euroopan tietosuojaneuvostolle 1 kohdassa tarkoitetun määräajan kuluessa ja esitettävä perustelut. Siinä tapauksessa toimenpideluonnoksen hyväksymisestä on pidättäydyttävä vielä yhden kuukauden ajan.

 

Tarkistus  169

Ehdotus asetukseksi

60 artikla

Komission teksti

Tarkistus

60 artikla

Poistetaan.

Toimenpideluonnoksen hyväksymisen keskeyttäminen

 

1. Jos komissiolla on vakavia epäilyksiä sen suhteen, takaisiko toimenpideluonnos tämän asetuksen asianmukaisen soveltamisen vai johtaisiko se päinvastoin asetuksen epäyhtenäiseen soveltamiseen, se voi kuukauden kuluessa 59 artiklan 4 kohdassa tarkoitetun ilmoituksen tekemisestä antaa perustellun päätöksen, jossa se vaatii valvontaviranomaista keskeyttämään toimenpideluonnoksen hyväksymisen, ottaen huomioon Euroopan tietosuojaneuvoston 58 artiklan 7 kohdan tai 61 artiklan 2 kohdan nojalla antaman lausunnon, jos tämä näyttää olevan tarpeen, jotta voidaan

 

a) sovittaa yhteen valvontaviranomaisen ja Euroopan tietosuojaneuvoston eriävät kannat, jos tämä näyttäisi olevan vielä mahdollista;

 

b) hyväksyä toimenpide 62 artiklan 1 kohdan a alakohdan nojalla.

 

2. Komissio täsmentää keskeytyksen keston, joka ei saa olla enempää kuin 12 kuukautta.

 

3. Valvontaviranomainen ei saa hyväksyä toimenpideluonnosta 2 kohdassa tarkoitetun ajan kuluessa.

 

Tarkistus  170

Ehdotus asetukseksi

60 a artikla (uusi)

Komission teksti

Tarkistus

 

60 a artikla

 

Ilmoittaminen Euroopan parlamentille ja neuvostolle

 

Komissio ilmoittaa Euroopan parlamentille ja komissiolle säännöllisesti ja vähintään puolen vuoden välein Euroopan tietosuojaneuvoston puheenjohtajan kertomuksen perusteella yhdenmukaisuusmekanismin puitteissa käsitellyistä asioista ja esittää tällöin komission ja Euroopan tietosuojaneuvoston tekemät johtopäätökset tämän asetuksen yhtenäisen täytäntöönpanon ja soveltamisen varmistamisesta.

Tarkistus  171

Ehdotus asetukseksi

61 artikla – 1 kohta

Komission teksti

Tarkistus

1. Poikkeuksellisissa olosuhteissa, jos valvontaviranomainen katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, valvontaviranomainen voi 58 artiklassa tarkoitetusta menettelystä poiketen hyväksyä väliaikaisia toimenpiteitä, joiden voimassaoloaika määritetään erikseen, etenkin jos on olemassa vaara, että jokin vallitsevan tilanteen muutos voisi merkittävästi haitata jonkin rekisteröidyille kuuluvan oikeuden täytäntöönpanoa tai huomattavien haittojen ehkäisemiseksi tai muista syistä. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle.

1. Poikkeuksellisissa olosuhteissa, jos valvontaviranomainen katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, valvontaviranomainen voi 58 a artiklassa tarkoitetusta menettelystä poiketen hyväksyä väliaikaisia toimenpiteitä, joiden voimassaoloaika määritetään erikseen, etenkin jos on olemassa vaara, että jokin vallitsevan tilanteen muutos voisi merkittävästi haitata jonkin rekisteröidyille kuuluvan oikeuden täytäntöönpanoa tai huomattavien haittojen ehkäisemiseksi tai muista syistä. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle.

Tarkistus  172

Ehdotus asetukseksi

61 artikla – 4 kohta

Komission teksti

Tarkistus

4. Tämän artiklan 2 ja 3 kohdassa tarkoitettu kiireellinen lausunto hyväksytään 58 artiklan 7 kohdasta poiketen kahden viikon kuluessa Euroopan tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä.

4. Tämän artiklan 2 ja 3 kohdassa tarkoitettu kiireellinen lausunto hyväksytään kahden viikon kuluessa Euroopan tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä.

Tarkistus  173

Ehdotus asetukseksi

62 artikla

Komission teksti

Tarkistus

Täytäntöönpanosäädökset

Täytäntöönpanosäädökset

1. Komissio antaa täytäntöönpanosäädöksiä, joissa

1. Komissio antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen soveltamisalaltaan yleisiä täytäntöönpanosäädöksiä, joissa

a) säädetään tämän asetuksen asianmukaisesta soveltamisesta sen tavoitteiden ja vaatimusten mukaisesti ja jotka koskevat valvontaviranomaisten 58 tai 61 artiklan nojalla ilmoittamia asioita, asiaa josta on annettu perusteltu päätös 60 artiklan 1 kohdan nojalla, tai asiaa, jonka osalta valvontaviranomainen ei ole esittänyt toimenpideluonnosta, vaan on ilmoittanut, ettei aio noudattaa komission 59 artiklan nojalla antamaa lausuntoa;

 

b) se päättää 59 artiklan 1 kohdassa tarkoitetussa määräajassa 58 artiklan 2 kohdan d alakohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden yleisestä pätevyydestä;

b) se päättää 42 artiklan 2 kohdan d alakohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden yleisestä pätevyydestä;

c) täsmennetään muoto ja menettelyt tässä jaksossa tarkoitetun yhdenmukaisuusmenettelyn soveltamista varten;

 

d) täsmennetään järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja Euroopan tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten ja erityisesti 58 artiklan 5, 6 ja 8 kohdassa tarkoitettu vakiolomake.

d) täsmennetään järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja Euroopan tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten ja erityisesti 58 artiklan 5, 6 ja 8 kohdassa tarkoitettu vakiolomake.

Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

 

2. Komissio hyväksyy asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa, jotka liittyvät 1 kohdan a alakohdassa tarkoitettuihin toimenpiteisiin, välittömästi sovellettavia täytäntöönpanosäädöksiä 87 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen. Näiden toimenpiteiden voimassaoloaika ei saa olla enempää kuin 12 kuukautta.

 

3. Se, annetaanko tämän jakson mukaisesti toimenpiteitä, ei vaikuta muihin toimenpiteisiin, joita komissio antaa perussopimusten mukaisesti.

3. Se, annetaanko tämän jakson mukaisesti toimenpiteitä, ei vaikuta muihin toimenpiteisiin, joita komissio antaa perussopimusten mukaisesti.

Tarkistus  174

Ehdotus asetukseksi

63 artikla – 2 kohta

Komission teksti

Tarkistus

2. Jos valvontaviranomainen ei esitä toimenpideluonnosta yhdenmukaisuusmekanismissa käsiteltäväksi, mikä on vastoin 58 artiklan 1–5 kohdan säännöksiä, kyseinen valvontaviranomaisen toimenpide ei ole oikeudellisesti pätevä eikä täytäntöönpanokelpoinen.

2. Jos valvontaviranomainen ei esitä toimenpideluonnosta yhdenmukaisuusmekanismissa käsiteltäväksi, mikä on vastoin 58 artiklan 1 ja 2 kohdan säännöksiä, tai hyväksyy toimenpiteen, vaikka sitä on vastustettu 58 a artiklan 1 kohdan nojalla, kyseinen valvontaviranomaisen toimenpide ei ole oikeudellisesti pätevä eikä täytäntöönpanokelpoinen.

Tarkistus  175

Ehdotus asetukseksi

66 artikla

Komission teksti

Tarkistus

Euroopan tietosuojaneuvoston tehtävät

Euroopan tietosuojaneuvoston tehtävät

1. Euroopan tietosuojaneuvosto varmistaa tämän asetuksen yhdenmukaisen soveltamisen. Tätä varten Euroopan tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai komission pyynnöstä erityisesti seuraavia tehtäviä:

1. Euroopan tietosuojaneuvosto varmistaa tämän asetuksen yhdenmukaisen soveltamisen. Tätä varten Euroopan tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai Euroopan parlamentin, neuvoston tai komission pyynnöstä erityisesti seuraavia tehtäviä:

a) antaa komissiolle neuvoja kaikissa henkilötietojen suojaan unionissa liittyvissä kysymyksissä, myös tämän asetuksen mahdollisessa muuttamisessa;

a) antaa unionin toimielimille neuvoja kaikissa henkilötietojen suojaan unionissa liittyvissä kysymyksissä, myös tämän asetuksen mahdollisessa muuttamisessa;

b) tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa valvontaviranomaisille osoitettuja suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista;

b) tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai Euroopan parlamentin, neuvoston tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa valvontaviranomaisille osoitettuja suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista, mukaan lukien täytäntöönpanovaltuuksien käyttö;

c) tarkastelee b alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön ja raportoi asiasta komissiolle säännöllisesti;

c) tarkastelee b alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön ja raportoi asiasta komissiolle säännöllisesti;

d) antaa lausuntoja valvontaviranomaisten päätösluonnoksista 57 artiklassa tarkoitetun mekanismin mukaisesti;

d) antaa lausuntoja valvontaviranomaisten päätösluonnoksista 57 artiklassa tarkoitetun mekanismin mukaisesti;

 

d a) antaa lausunnon, jonka mukaan viranomaisen on oltava johtava viranomainen 54 a artiklan 3 kohdan mukaisesti;

e) edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja käytänteiden vaihtamista;

e) edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja käytänteiden vaihtamista, mukaan lukien yhden tai useamman valvontaviranomaisen pyyntöön perustuvat, yhteisten operaatioiden ja muiden yhteisten toimien koordinointia koskevat päätökset;

f) edistää yhteisiä koulutusohjelmia ja tukee henkilövaihtoa valvontaviranomaisten välillä sekä tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

f) edistää yhteisiä koulutusohjelmia ja tukee henkilövaihtoa valvontaviranomaisten välillä sekä tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

g) edistää tietosuojalainsäädäntöä ja käytänteitä koskevien tietojen ja asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa.

g) edistää tietosuojalainsäädäntöä ja käytänteitä koskevien tietojen ja asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa.

 

g a) antaa lausunnon komissiolle tämän asetuksen perusteella valmisteltavista täytäntöönpanosäädöksistä ja delegoiduista säädöksistä;

 

g b) antaa lausunnon unionin tasolla 38 artiklan 4 kohdan mukaisesti laadituista käytännesäännöistä;

 

 

g c) antaa lausunnon 39 artiklan 3 kohdan mukaisesti laadittujen tietosuojaa koskevien sertifiointimekanismien kriteereistä ja vaatimuksista;

 

g d) ylläpitää julkista sähköistä rekisteriä voimassa olevista ja pätemättömistä sertifioinneista 39 artiklan 1 h kohdan mukaisesti;

 

g e) avustaa kansallisia valvontaviranomaisia niiden pyynnöstä;

 

g f) laatia ja julkistaa luettelon käsittelytoimista, jotka edellyttävät 34 artiklassa tarkoitettua ennakkokuulemista;

 

g g) ylläpitää rekisteriä seuraamuksista, joita valvontaviranomaiset ovat määränneet rekisterinpitäjille tai henkilötietojen käsittelijöille.

2. Jos komissio pyytää Euroopan tietosuojaneuvostolta neuvoja, se voi asettaa määräajan, jonka kuluessa tietosuojaneuvoston on annettava neuvot, asian kiireellisyys huomioon ottaen.

2. Jos Euroopan parlamentti, neuvosto tai komissio pyytää Euroopan tietosuojaneuvostolta neuvoja, se voi asettaa määräajan, jonka kuluessa tietosuojaneuvoston on annettava neuvot, asian kiireellisyys huomioon ottaen.

3. Euroopan tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 87 artiklassa tarkoitetulle komitealle ja julkaistava ne.

3. Euroopan tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet Euroopan parlamentille, neuvostolle ja komissiolle sekä 87 artiklassa tarkoitetulle komitealle ja julkaistava ne.

4. Komission on ilmoitettava Euroopan tietosuojaneuvostolle toimista, jotka se on toteuttanut tietosuojaneuvoston antamien lausuntojen, suuntaviivojen, suositusten ja parhaiden käytänteiden perusteella.

4. Komission on ilmoitettava Euroopan tietosuojaneuvostolle toimista, jotka se on toteuttanut tietosuojaneuvoston antamien lausuntojen, suuntaviivojen, suositusten ja parhaiden käytänteiden perusteella.

 

4 a. Euroopan tietosuojaneuvoston on tarvittaessa kuultava asianomaisia osapuolia ja annettava niille mahdollisuus esittää huomautuksia kohtuullisessa määräajassa. Euroopan tietosuojaneuvoston on saatettava kuulemismenettelyn tulokset julkisesti saataville, sanotun kuitenkaan rajoittamatta 72 artiklan soveltamista.

 

4 b. Euroopan tietosuojaneuvostolle annetaan tehtäväksi antaa 1 kohdan b alakohdan mukaisesti suuntaviivat, suositukset ja parhaat käytänteet, jotta voidaan laatia yhteisiä menettelyjä väitetysti lainvastaista tietojenkäsittelyä koskevien tietojen vastaanottamisesta ja tutkimisesta sekä vastaanotetun tiedon luottamuksellisuuden ja lähteiden suojaamisesta.

Tarkistus  176

Ehdotus asetukseksi

67 artikla – 1 kohta

Komission teksti

Tarkistus

1. Euroopan tietosuojaneuvoston on tiedotettava komissiolle toimintansa tuloksista säännöllisesti ja oikea-aikaisesti. Sen on laadittava vuosittain kertomus luonnollisten henkilöiden tietosuojan tilanteesta henkilötietojen käsittelyn yhteydessä unionissa ja kolmansissa maissa.

Kertomuksessa on tarkasteltava 66 artiklan 1 kohdan c alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden käytännön soveltamista.

1. Euroopan tietosuojaneuvoston on tiedotettava Euroopan parlamentille, neuvostolle ja komissiolle toimintansa tuloksista säännöllisesti ja oikea-aikaisesti. Sen on laadittava vähintään joka toinen vuosi kertomus luonnollisten henkilöiden tietosuojan tilanteesta henkilötietojen käsittelyn yhteydessä unionissa ja kolmansissa maissa.

Kertomuksessa on tarkasteltava 66 artiklan 1 kohdan c alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden käytännön soveltamista.

Tarkistus  177

Ehdotus asetukseksi

68 artikla – 1 kohta

Komission teksti

Tarkistus

1. Euroopan tietosuojaneuvosto antaa päätöksensä jäsentensä yksinkertaisella enemmistöllä.

1. Euroopan tietosuojaneuvosto antaa päätöksensä jäsentensä yksinkertaisella enemmistöllä, paitsi jos sen työjärjestyksessä toisin määrätään.

Tarkistus  178

Ehdotus asetukseksi

69 artikla – 1 kohta

Komission teksti

Tarkistus

1. Euroopan tietosuojaneuvosto valitsee jäsentensä keskuudesta puheenjohtajan ja kaksi varapuheenjohtajaa. Toinen varapuheenjohtajista on Euroopan tietosuojavaltuutettu, paitsi jos tämä on valittu puheenjohtajaksi.

1. Euroopan tietosuojaneuvosto valitsee jäsentensä keskuudesta puheenjohtajan ja vähintään kaksi varapuheenjohtajaa.

Tarkistus  179

Ehdotus asetukseksi

69 artikla – 2 a kohta (uusi)

Komission teksti

Tarkistus

 

2 a. Puheenjohtajuuden on oltava täysipäiväinen toimi.

Tarkistus  180

Ehdotus asetukseksi

71 artikla – 2 kohta

Komission teksti

Tarkistus

2. Sihteeristö antaa Euroopan tietosuojaneuvostolle analyysi-, hallinto- ja logistiikkatukea puheenjohtajan ohjauksessa.

2. Sihteeristö antaa Euroopan tietosuojaneuvostolle analyysi-, oikeus-, hallinto- ja logistiikkatukea puheenjohtajan ohjauksessa.

Tarkistus  181

Ehdotus asetukseksi

72 artikla – 1 kohta

Komission teksti

Tarkistus

1. Euroopan tietosuojaneuvoston keskustelut ovat luottamuksellisia.

1. Euroopan tietosuojaneuvoston keskustelut voivat tarvittaessa olla luottamuksellisia, paitsi jos sen työjärjestyksessä toisin määrätään. Euroopan tietosuojaneuvoston kokousten esityslistat on julkistettava.

Tarkistus  182

Ehdotus asetukseksi

73 artikla

Komission teksti

Tarkistus

Oikeus tehdä valitus valvontaviranomaiselle

Oikeus tehdä valitus valvontaviranomaiselle

1. Jokaisella rekisteröidyllä on oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos rekisteröity katsoo, että hänen henkilötietojensa käsittelyssä ei ole noudatettu tämän asetuksen säännöksiä, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

1. Jokaisella rekisteröidyllä on oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos rekisteröity katsoo, että hänen henkilötietojensa käsittelyssä ei ole noudatettu tämän asetuksen säännöksiä, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja ja yhdenmukaisuusmekanismia.

2. Millä tahansa elimellä, järjestöllä tai yhdistyksellä, jonka tarkoituksena on suojella rekisteröidyn henkilötietojen suojaan liittyviä oikeuksia ja etuja ja joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, on oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle yhden tai useamman rekisteröidyn puolesta, jos se katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu henkilötietojen käsittelyssä.

2. Millä tahansa elimellä, järjestöllä tai yhdistyksellä, joka toimii yleisen edun hyväksi ja joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, on oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle yhden tai useamman rekisteröidyn puolesta, jos se katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu henkilötietojen käsittelyssä.

3. Edellä 2 kohdassa tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on rekisteröidyn valituksesta riippumatta oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos se katsoo, että on tapahtunut henkilötietojen tietoturvaloukkaus.

3. Edellä 2 kohdassa tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on rekisteröidyn valituksesta riippumatta oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos se katsoo, että asetusta on rikottu.

Tarkistus  183

Ehdotus asetukseksi

74 artikla

Komission teksti

Tarkistus

Oikeus oikeussuojakeinoihin valvontaviranomaista vastaan

Oikeus oikeussuojakeinoihin valvontaviranomaista vastaan

1. Jokaisella luonnollisella tai oikeushenkilöllä on oikeus oikeussuojakeinoihin itseään koskevia valvontaviranomaisen päätöksiä vastaan.

1. Jokaisella luonnollisella tai oikeushenkilöllä on oikeus oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen päätöstä vastaan, sanotun kuitenkaan rajoittamatta muiden hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten suojakeinojen soveltamista.

2. Jokaisella rekisteröidyllä on oikeus oikeussuojakeinoihin, joilla valvontaviranomainen voidaan velvoittaa käsittelemään valitus, ellei valvontaviranomainen ole tehnyt rekisteröidyn oikeuksien suojaamista koskevaa päätöstä tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa valituksen etenemisestä tai ratkaisustaan 52 artiklan 1 kohdan b alakohdan mukaisesti.

2. Jokaisella rekisteröidyllä on oikeus oikeussuojakeinoihin, joilla valvontaviranomainen voidaan velvoittaa käsittelemään valitus, ellei valvontaviranomainen ole tehnyt rekisteröidyn oikeuksien suojaamista koskevaa päätöstä tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa valituksen etenemisestä tai ratkaisustaan 52 artiklan 1 kohdan b alakohdan mukaisesti, sanotun kuitenkaan rajoittamatta muiden hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten suojakeinojen soveltamista.

3. Kanne valvontaviranomaista vastaan on nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.

3. Kanne valvontaviranomaista vastaan on nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.

4. Rekisteröity, jota koskee muun kuin hänen asuinjäsenvaltionsa valvontaviranomaisen tekemä päätös, voi pyytää asuinjäsenvaltionsa valvontaviranomaista aloittamaan puolestaan oikeudelliset menettelyt toisen jäsenvaltion toimivaltaista valvontaviranomaista vastaan.

4. Rekisteröity, jota koskee muun kuin hänen asuinjäsenvaltionsa valvontaviranomaisen tekemä päätös, voi pyytää asuinjäsenvaltionsa valvontaviranomaista aloittamaan puolestaan oikeudelliset menettelyt toisen jäsenvaltion toimivaltaista valvontaviranomaista vastaan, sanotun kuitenkaan rajoittamatta yhdenmukaisuusmekanismia.

5. Jäsenvaltioiden on pantava täytäntöön tässä artiklassa tarkoitettujen tuomioistuimien lainvoimaiset päätökset.

5. Jäsenvaltioiden on pantava täytäntöön tässä artiklassa tarkoitettujen tuomioistuimien lainvoimaiset päätökset.

Tarkistus  184

Ehdotus asetukseksi

75 artikla – 2 kohta

Komission teksti

Tarkistus

2. Kanne rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on nostettava sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Vaihtoehtoisesti tällainen kanne voidaan nostaa sen jäsenvaltion tuomioistuimissa, jossa rekisteröidyn vakinainen asuinpaikka on, paitsi jos rekisterinpitäjä on viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.

2. Kanne rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on nostettava sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Vaihtoehtoisesti tällainen kanne voidaan nostaa sen jäsenvaltion tuomioistuimissa, jossa rekisteröidyn vakinainen asuinpaikka on, paitsi jos rekisterinpitäjä on unionin viranomainen tai sellaisen jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.

Tarkistus  185

Ehdotus asetukseksi

76 artikla – 1 kohta

Komission teksti

Tarkistus

1. Jokaisella 73 artiklan 2 kohdassa tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on oikeus käyttää 74 ja 75 artiklassa tarkoitettuja oikeuksia yhden tai useamman rekisteröidyn puolesta.

1. Jokaisella 73 artiklan 2 kohdassa tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on oikeus käyttää 74, 75 ja 77 artiklassa tarkoitettuja oikeuksia yhden tai useamman rekisteröidyn puolesta, jos rekisteröity valtuuttaa ne tähän.

Tarkistus  186

Ehdotus asetukseksi

77 artikla – 1 kohta

Komission teksti

Tarkistus

1. Jos kenelle tahansa henkilölle aiheutuu vahinkoa lainvastaisesta käsittelystä tai minkä tahansa toiminnan yhteensopimattomuudesta tämän asetuksen säännösten kanssa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

1. Jos kenelle tahansa henkilölle aiheutuu vahinkoa, aineeton vahinko mukaan luettuna, lainvastaisesta käsittelystä tai minkä tahansa toiminnan yhteensopimattomuudesta tämän asetuksen säännösten kanssa, hänellä on oikeus hakea rekisterinpitäjältä tai henkilötietojen käsittelijältä korvausta aiheutuneesta vahingosta.

Tarkistus  187

Ehdotus asetukseksi

77 artikla – 2 kohta

Komission teksti

Tarkistus

2. Jos käsittelyyn on osallistunut useampi kuin yksi rekisterinpitäjä tai henkilötietojen käsittelijä, kukin rekisterinpitäjä tai henkilötietojen käsittelijä on yhteisvastuullisesti vastuussa korvauksen koko määrästä.

2. Jos käsittelyyn on osallistunut useampi kuin yksi rekisterinpitäjä tai henkilötietojen käsittelijä, kukin rekisterinpitäjä tai henkilötietojen käsittelijä on yhteisvastuullisesti vastuussa korvauksen koko määrästä, elleivät he ole tehneet asiaankuuluvaa kirjallista sopimusta, jossa määritellään vastuut 24 artiklan mukaisesti.

Tarkistus  188

Ehdotus asetukseksi

79 artikla

Komission teksti

Tarkistus

Hallinnolliset seuraamukset

Hallinnolliset seuraamukset

1. Jokaisella valvontaviranomaisella on valtuudet määrätä hallinnollisia seuraamuksia tämän artiklan mukaisesti.

1. Jokaisella valvontaviranomaisella on valtuudet määrätä hallinnollisia seuraamuksia tämän artiklan mukaisesti. Valvontaviranomaisten on tehtävä yhteistyötä toistensa kanssa 46 ja 57 artiklan mukaisesti, jotta taataan seuraamusten yhtenäinen taso unionissa.

2. Hallinnollisten seuraamusten on oltava kussakin tapauksessa tehokkaita, oikeasuhteisia ja varoittavia. Hallinnollisen sakon määrä vahvistetaan ottaen huomioon sääntöjen rikkomisen luonne, vakavuus ja kesto, tahallisuus tai tuottamuksellisuus, luonnollisen tai oikeushenkilön vastuun aste ja kyseisen henkilön mahdolliset aiemmat rikkomiset, 23 artiklan nojalla toteutetut tekniset ja organisatoriset toimenpiteet ja menettelyt sekä valvontaviranomaisen yhteistyön aste rikkomisen korjaamiseksi.

2. Hallinnollisten seuraamusten on oltava kussakin tapauksessa tehokkaita, oikeasuhteisia ja varoittavia.

 

2 a. Valvontaviranomaisen on määrättävä ainakin yksi seuraavista seuraamuksista jokaiselle, joka ei noudata tässä asetuksessa määrättyjä velvollisuuksia:

 

a) kirjallinen varoitus, kun kyseessä on ensimmäinen ja tahaton noudattamatta jättäminen;

 

b) säännöllisiä tietosuojaa koskevia tarkastuksia;

 

c) enintään 100 000 000 euron sakko tai jos kyseessä on yritys, enintään 5 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

 

2 b. Jos rekisterinpitäjällä tai henkilötietojen käsittelijällä on voimassa oleva 39 artiklan mukainen eurooppalainen tietosuojasinetti, 2 a kohdan c alakohdassa tarkoitettu sakko määrätään ainoastaan, jos kyseessä on tahallinen tai tuottamuksellinen noudattamatta jättäminen.

 

2 c. Hallinnollisessa seuraamuksessa on otettava huomioon seuraavat seikat:

 

a) noudattamatta jättämisen luonne, vakavuus ja kesto,

 

b) noudattamatta jättämisen tahallisuus tai tuottamuksellisuus,

 

c) luonnollisen tai oikeushenkilön vastuun aste ja kyseisen henkilön mahdolliset aiemmat rikkomiset,

 

d) rikkomisen toistuvuus,

 

e) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi,

 

f) erityiset henkilötietojen ryhmät, joihin rikkominen vaikuttaa,

 

g) rekisteröidyille aiheutuneen vahingon aste, aineeton vahinko mukaan luettuna,

 

h) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi,

 

i) rikkomisella suoraan tai epäsuorasti tavoitellut tai saavutetut taloudelliset edut tai vältetyt tappiot,

 

j) seuraavien artiklojen nojalla toteutettujen teknisten ja organisatoristen toimenpiteiden ja menettelyjen aste:

 

i) 23 artikla – Sisäänrakennettu ja oletusarvoinen tietosuoja

 

ii) 30 artikla – Käsittelyn turvallisuus

 

iii) 33 artikla – Tietosuojaa koskeva vaikutustenarviointi

 

iv) 33 a artikla – Tietosuojasääntöjen noudattamisen tarkastelu

 

v) 35 artikla – Tietosuojavastaavan nimittäminen

 

k) kieltäytyminen yhteistyöstä valvontaviranomaisen 53 artiklan nojalla suorittamien tarkastusten ja valvonnan yhteydessä tai näiden tarkastusten ja valvonnan estäminen;

 

l) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät.

3. Kun kyseessä on ensimmäinen ja tahaton asetuksen rikkominen, voidaan antaa kirjallinen varoitus ja jättää seuraamus määräämättä, jos

 

a) luonnollinen henkilö käsittelee henkilötietoja ilman kaupallista intressiä;

 

b) yritys tai järjestö, jonka palveluksessa on alle 250 työntekijää, käsittelee henkilötietoja ainoastaan pääasiallisen toimintansa aputoimintona.

 

4. Valvontaviranomaisen on määrättävä sakkoa enintään 250 000 euroa, tai jos kyseessä on yritys, enintään 0,5 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta, jokaiselle joka tahallaan tai tuottamuksesta:

 

a) ei perusta menettelyjä rekisteröityjen esittämiä pyyntöjä varten tai ei vastaa viipymättä tai vaaditussa muodossa rekisteröityjen 12 artiklan 1 ja 2 kohdan nojalla esittämiin pyyntöihin;

 

b) perii 12 artiklan 4 kohdan vastaisesti maksun tiedoista tai rekisteröityjen pyyntöihin vastaamisesta.

 

5. Valvontaviranomaisen on määrättävä sakkoa enintään 500 000 euroa, tai jos kyseessä on yritys, enintään 1 prosentti sen vuotuisesta maailmanlaajuisesta liikevaihdosta, jokaiselle joka tahallaan tai tuottamuksesta:

 

a) ei anna rekisteröidylle 11 artiklan, 12 artiklan 3 kohdan ja 14 artiklan nojalla tietoja tai antaa puutteellisia tietoja tai ei anna tietoja riittävän läpinäkyvästi;

 

b) ei anna rekisteröidylle pääsyä tai ei oikaise henkilötietoja 15 ja 16 artiklan nojalla tai ei toimita 13 artiklan mukaisesti tarvittavia tietoja tietojen vastaanottajalle;

 

c) ei noudata oikeutta tulla unohdetuksi tai poistaa tiedot, tai jättää toteuttamatta mekanismit määräaikojen noudattamisen varmistamiseksi, tai ei toteuta kaikkia tarvittavia toimenpiteitä, joiden avulla kolmansille osapuolille ilmoitetaan rekisteröidyn pyynnöstä poistaa 17 artiklan nojalla kaikki linkit henkilötietoihin tai niiden kopiot tai jäljennökset;

 

d) ei toimita jäljennöstä henkilötiedoista sähköisessä muodossa tai estää 18 artiklan vastaisesti rekisteröityä siirtämästä henkilötietonsa toiseen sovellukseen;

 

e) ei määritä 24 artiklassa tarkoitettuja yhteisten rekisterinpitäjien vastuualueita lainkaan tai ei määritä niitä riittävästi;

 

f) ei säilytä 28 artiklassa, 31 artiklan 4 kohdassa tai 44 artiklan 3 kohdassa tarkoitettuja asiakirjoja tai ei säilytä niitä riittävässä määrin;

 

g) ei noudata tapauksissa, joihin ei liity erityisiä tietoryhmiä, 80, 82 ja 83 artiklan mukaisesti sääntöjä, jotka koskevat sananvapautta tai työntekijän henkilötietojen käsittelyä tai historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten suoritettavan käsittelyn edellytyksiä.

 

6. Valvontaviranomaisen on määrättävä sakkoa enintään 1 000 000 euroa, tai jos kyseessä on yritys, enintään 2 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta, jokaiselle joka tahallaan tai tuottamuksesta:

 

a) käsittelee henkilötietoja ilman mitään tai ilman riittävää oikeusperustaa tai ei noudata 6–8 artiklassa säädettyjä suostumusta koskevia edellytyksiä;

 

b) käsittelee erityisiä tietoryhmiä 9 ja 81 artiklan vastaisesti;

 

c) ei noudata henkilötietojen käsittelyn vastustamista tai 19 artiklassa säädettyä vaatimusta;

 

d) ei noudata 20 artiklassa säädettyjä, profilointiin perustuvia toimenpiteitä koskevia edellytyksiä;

 

e) ei vahvista sisäisiä menettelyjä tai ei toteuta tarvittavia toimenpiteitä sääntöjen noudattamisen varmistamiseksi ja sen osoittamiseksi 22, 23 ja 30 artiklan mukaisesti;

 

f) ei nimitä edustajaa 25 artiklan mukaisesti;

 

g) käsittelee henkilötietoja tai antaa ohjeita henkilötietojen käsittelemiseksi niiden velvoitteiden vastaisesti, jotka koskevat rekisterinpitäjän lukuun suoritettavaa henkilötietojen käsittelyä 26 ja 27 artiklan mukaisesti;

 

h) ei anna hälytystä henkilötietojen tietoturvaloukkauksen vuoksi tai ei ilmoita siitä tai ei ilmoita tietoturvaloukkauksesta oikea-aikaisesti tai kokonaan valvontaviranomaiselle tai rekisteröidylle 31 ja 32 artiklan mukaisesti;

 

i) ei laadi tietosuojaa koskevaa vaikutustenarviointia 33 artiklan mukaisesti tai käsittelee henkilötietoja ilman 34 artiklassa säädettyä valvontaviranomaisen ennakkohyväksyntää tai -kuulemista;

 

j) ei nimitä tietosuojavastaavaa tai varmista edellytyksiä 35–37 artiklassa säädettyjen tehtävien suorittamiseksi;

 

k) käyttää väärin 39 artiklassa tarkoitettuja tietosuojasinettejä tai -merkkejä;

 

l) toteuttaa tiedonsiirtoja tai antaa ohjeita sellaisten tiedonsiirtojen toteuttamiseksi kolmanteen maahan tai kansainväliselle järjestölle, joita varten ei ole tehty tietosuojan riittävyyttä koskevaa päätöstä tai annettu asianmukaisia takeita tai 40–44 artiklan mukaista poikkeusta;

 

m) ei noudata valvontaviranomaisen 53 artiklan 1 kohdan nojalla antamaa määräystä tai väliaikaista tai lopullista käsittelykieltoa tai tietovirtojen keskeyttämismääräystä;

 

n) ei noudata velvollisuutta avustaa valvontaviranomaista tai vastata tai antaa sille tarvittavat tiedot tai sallia sen pääsy tiloihin 28 artiklan 3 kohdan, 29 artiklan, 34 artiklan 6 kohdan ja 53 artiklan 2 kohdan mukaisesti;

 

o) ei noudata 84 artiklassa säädettyjä salassapitovelvollisuuden takaamista koskevia sääntöjä.

 

7. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa päivitetään 4–6 artiklassa tarkoitettujen hallinnollisten sakkojen määrä 2 kohdassa tarkoitetut kriteerit huomioon ottaen.

7. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa päivitetään 2 a kohdassa tarkoitettujen hallinnollisten sakkojen määrä 2 ja 2 c kohdassa tarkoitetut kriteerit ja tekijät huomioon ottaen.

Tarkistus  189

Ehdotus asetukseksi

80 artikla – 1 kohta

Komission teksti

Tarkistus

1. Jäsenvaltioiden on säädettävä ainoastaan journalistisia tarkoituksia tai taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettua henkilötietojen käsittelyä varten poikkeuksista ja vapautuksista II luvussa säädetyistä yleisistä periaatteista, III luvussa säädetyistä rekisteröidyn oikeuksista, IV luvussa säädetyistä rekisterinpitäjää ja henkilötietojen käsittelijää koskevista säännöistä, V luvussa säädetyistä henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille koskevista säännöistä, VI luvussa säädetyistä riippumattomia valvontaviranomaisia koskevista säännöistä ja VII luvussa säädetyistä yhteistyötä ja yhdenmukaisuutta koskevista säännöistä, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan ja sananvapautta koskevat säännöt.

1. Jäsenvaltioiden on säädettävä poikkeuksista ja vapautuksista II luvussa säädetyistä yleisistä periaatteista, III luvussa säädetyistä rekisteröidyn oikeuksista, IV luvussa säädetyistä rekisterinpitäjää ja henkilötietojen käsittelijää koskevista säännöistä, V luvussa säädetyistä henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille koskevista säännöistä, VI luvussa säädetyistä riippumattomia valvontaviranomaisia koskevista säännöistä ja VII luvussa säädetyistä yhteistyötä ja yhdenmukaisuutta koskevista säännöistä sekä IX luvussa säädetyistä erilaisista tietojenkäsittelytilanteista silloin, kun se on välttämätöntä,, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan ja sananvapautta koskevat säännöt Euroopan unionin perusoikeuskirjan mukaisesti.

Tarkistus  190

Ehdotus asetukseksi

80 a artikla (uusi)

Komission teksti

Tarkistus

 

80 a artikla

 

Asiakirjojen saatavuus

 

1. Viranomaiset tai julkishallinnon elimet voivat luovuttaa hallussaan olevien asiakirjojen sisältämiä henkilötietoja sellaisen virallisten asiakirjojen julkisuudesta säädetyn unionin tai jäsenvaltion lain mukaisesti, jossa sovitetaan yhteen oikeus henkilötietojen suojaan ja virallisten asiakirjojen julkisuusperiaate.

 

2. Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset ilman viivytystä.

Tarkistus  191

Ehdotus asetukseksi

81 artikla

Komission teksti

Tarkistus

Terveyttä koskevien henkilötietojen käsittely

Terveyttä koskevien henkilötietojen käsittely

1. Terveyttä koskevia henkilötietoja voidaan käsitellä tässä asetuksessa asetetuissa rajoissa ja 9 artiklan 2 kohdan h alakohdan mukaisesti unionin tai jäsenvaltion lainsäädännön nojalla, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeutettujen etujen suojaamiseksi, jos käsittely on tarpeen

1. Terveyttä koskevia henkilötietoja on käsiteltävä käsitellä tässä asetuksessa vahvistettujen sääntöjen ja erityisesti 9 artiklan 2 kohdan h alakohdan mukaisesti unionin tai jäsenvaltion lainsäädännön nojalla, jossa säädetään asianmukaisista, yhdenmukaisista ja erityisistä toimenpiteistä rekisteröidyn etujen ja perusoikeuksien suojaamiseksi, jos käsittely on tarpeen ja oikeasuhtaista ja jos rekisteröity voi ennakoida sen vaikutukset

a) ennalta ehkäisevää tai työterveydenhuoltoa tai lääketieteellisiä diagnooseja koskevia tarkoituksia, hoidon tai käsittelyn suorittamista tai terveydenhuollon palvelujen hallintoa varten ja jos näitä tietoja käsittelee terveydenhuollon ammattikoulutuksen saanut henkilö, jota koskee vaitiolovelvollisuus, tai muu henkilö, jota koskee vastaava velvoite jäsenvaltion lain tai toimivaltaisten kansallisten viranomaisten vahvistamien sääntöjen nojalla;

a) ennalta ehkäisevää tai työterveydenhuoltoa tai lääketieteellisiä diagnooseja koskevia tarkoituksia, hoidon tai käsittelyn suorittamista tai terveydenhuollon palvelujen hallintoa varten ja jos näitä tietoja käsittelee terveydenhuollon ammattikoulutuksen saanut henkilö, jota koskee vaitiolovelvollisuus, tai muu henkilö, jota koskee vastaava velvoite jäsenvaltion lain tai toimivaltaisten kansallisten viranomaisten vahvistamien sääntöjen nojalla;

b) kansanterveyteen liittyvän yleisen edun vuoksi, kuten rajatylittävien vakavien terveysuhkien estämiseksi tai esimerkiksi lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi;

b) kansanterveyteen liittyvän yleisen edun vuoksi, kuten rajatylittävien vakavien terveysuhkien estämiseksi tai esimerkiksi lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi tai silloin, kun tiedot käsittelee henkilö, jota sitoo vaitiolovelvollisuus;

c) muista yleistä etua koskevista syistä esimerkiksi sosiaalisen suojelun alalla, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä.

c) muista yleistä etua koskevista syistä esimerkiksi sosiaalisen suojelun alalla, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä ja terveyspalvelujen antamiseksi. Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saa johtaa siihen, että tietoja käsitellään muita tarkoituksia varten, paitsi jos rekisteröity on antanut suostumuksensa tai jos unionin tai jäsenvaltion lainsäädäntö mahdollistaa sen.

 

1 a. Jos 1 kohdan a–c alakohdassa mainitut tarkoitukset voidaan saavuttaa ilman henkilötietojen käyttöä, näitä tietoja ei saa käyttää kyseisiin tarkoituksiin, paitsi jos rekisteröity on antanut suostumuksensa tai jos jäsenvaltion lainsäädäntö mahdollistaa sen.

 

1 b. Jos rekisteröidyn on annettava suostumuksensa lääketieteellisten tietojen käsittelyyn yksinomaan kansanterveyttä koskevan tieteellisen tutkimuksen tekemiseksi, suostumus voidaan antaa yhtä tai useampaa erityistä ja vastaavaa tutkimusta varten. Rekisteröity voi kuitenkin peruuttaa suostumuksensa milloin tahansa.

 

1 c. Kun on kyse suostumuksesta tieteellisessä tutkimustoiminnassa suoritettaviin kliinisiin tutkimuksiin, sovelletaan Euroopan parlamentin ja neuvoston direktiivin 2001/20/EY1 asiaa koskevia säännöksiä.

2. Terveyttä koskevien henkilötietojen käsittelyyn, joka on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, esimerkiksi diagnoosien parantamista varten perustettavia potilasrekistereitä ja samantyyppisten sairauksien erottamiseksi toisistaan tai selvitysten laatimiseksi hoitoja varten, sovelletaan 83 artiklassa tarkoitettuja edellytyksiä ja takeita.

2. Terveyttä koskevien henkilötietojen käsittely, joka on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, sallitaan ainoastaan rekisteröidyn suostumuksella ja siihen on sovellettava 83 artiklassa tarkoitettuja edellytyksiä ja takeita.

 

2 a. Jäsenvaltioiden lainsäädännössä voidaan säätää poikkeuksista 2 kohdassa tarkoitettuun tutkimustarkoitusta koskevan suostumuksen vaatimukseen sellaisten tutkimusten osalta, jotka koskevat tärkeää yleistä etua, mikäli tätä tutkimusta ei voida suorittaa muulla tavalla. Kyseisistä tiedoista on poistettava nimet tai, jos se ei tutkimustarkoituksen vuoksi ole mahdollista, tiedot on julkaistava salanimillä erittäin tiukkojen teknisten vaatimusten mukaisesti ja kaikki tarvittavat toimenpiteet on toteutettava rekisteröityjen aiheettoman uudelleen tunnistamisen estämiseksi. Rekisteröidyllä on kuitenkin 19 artiklan mukainen oikeus vastustaa henkilötietojen käsittelyä milloin tahansa.

3. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan b alakohdassa tarkoitetut muut yleistä etua kansanterveyden alalla koskevat syyt sekä kriteerit ja vaatimukset 1 kohdassa tarkoitettuja tarkoituksia varten suoritettavaa henkilötietojen käsittelyä koskevia takeita varten.

3. Siirretään komissiolle valta antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan b alakohdassa tarkoitettu yleinen etu kansanterveyden alalla sekä 2 a kohdassa tarkoitettu tärkeä yleinen etu tutkimuksen alalla.

 

3 a. Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

 

1 Euroopan parlamentin ja neuvoston direktiivi 2001/20/EY, annettu 4 päivänä huhtikuuta 2001, hyvän kliinisen tutkimustavan noudattamista ihmisille tarkoitettujen lääkkeiden kliinisissä tutkimuksissa koskevien jäsenvaltioiden lakien, asetusten ja hallinnollisten määräysten lähentämisestä (EYVL L 121, 1.5.2001, s. 34) .

Tarkistus  192

Ehdotus asetukseksi

82 artikla

Komission teksti

Tarkistus

Henkilötietojen käsittely työsuhteen yhteydessä

Henkilötietojen käsittelyä työsuhteen yhteydessä koskevat vähimmäisvaatimukset

1. Jäsenvaltiot voivat antaa tässä asetuksessa asetetuissa rajoissa erityissäännöksiä työntekijän terveystietojen käsittelystä työsuhteen yhteydessä, erityisesti palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisistä tai työehtosopimukseen perustuvista velvollisuuksista vapauttaminen, työn johto, suunnittelu ja organisointi, työterveys ja -turvallisuus sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten.

1. Jäsenvaltiot voivat tämän asetuksen säännösten mukaisesti ja suhteellisuusperiaatteen huomioon ottaen antaa lainsäädäntöteitse erityissäännöksiä työntekijän henkilötietojen käsittelystä työsuhteen yhteydessä, erityisesti yritysryhmän sisäistä palvelukseenottamista ja työnhakua tai työsopimuksen täytäntöönpanoa varten, mutta ei rajoittuen niihin, mukaan lukien lakisääteisistä ja työehtosopimukseen perustuvista kansallisen lainsäädännön ja käytäntöjen mukaisesti velvollisuuksista vapauttaminen, työn johto, suunnittelu ja organisointi, työterveys ja -turvallisuus, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten. Jäsenvaltiot voivat sallia, että tässä artiklassa vahvistetut säännökset määritellään tarkemmin työehtosopimuksissa.

 

1 a. Tietojen käsittelemisen on liityttävä tietojen keräämistarkoitukseen, ja niitä saa käsitellä ainoastaan työsuhteen yhteydessä. Tietojen käyttäminen profilointiin tai toissijaisiin tarkoituksiin on kielletty.

 

1 b. Työntekijän suostumus ei muodosta oikeusperustaa sille, että työnantaja voi käsitellä tietoja, jos suostumusta ei ole annettu vapaaehtoisesti.

 

1 c. Rajoittamatta tämän asetuksen muiden säännösten soveltamista on 1 kohdassa tarkoitettuihin jäsenvaltioiden säännöksiin sisällytettävä vähintään seuraavat vähimmäisvaatimukset:

 

 

a) työntekijän henkilötietoja ei saa käsitellä tämän tietämättä. Jäsenvaltiot voivat ensimmäisestä virkkeestä poiketen lainsäädännöllä ja vahvistamalla asianmukaiset määräajat tietojen poistamiselle sallia tietojen käsittelyn tapauksissa, joissa on perusteltuja ja pakollisen dokumentoinnin avulla varmistettuja syitä epäillä, että työntekijä on työsuhteessa syyllistynyt rikokseen tai vakavaan velvollisuuksien laiminlyöntiin, ja joissa tiedot ovat tarpeellisia rikoksen paljastamiseksi ja tietojen keräämisen luonne ja laajuus ovat tarpeellisia ja oikeasuhteisia tarkoitukseensa nähden. Työntekijän yksityisyyttä ja yksityiselämää on aina kunnioitettava. Tutkinnan suorittaa toimivaltainen viranomainen;

 

b) avoin optoelektroninen ja/tai avoin akustis-elektroninen valvonta ei ole sallittua yleisöltä suljetuissa yrityksen tiloissa, jotka toimivat pääasiallisesti työntekijöiden sosiaalisina tiloina. Tämä koskee erityisesti pesu- ja pukuhuoneita sekä taukotiloja ja lepohuoneita. Salaa suoritettu valvonta ei ole sallittua missään tapauksessa.

 

c) jos yritykset tai viranomaiset keräävät tai käsittelevät henkilötietoja terveystarkastusten ja/tai soveltuvuustestien yhteydessä, niiden on etukäteen kerrottava hakijalle tai työntekijälle, mihin tarkoitukseen tietoja käytetään, sekä varmistettava, että ne ja tuloksista annetaan jälkikäteen kyseiselle henkilölle ja että niiden merkityksestä annetaan pyynnöstä tarkempi selitys. Tietojen kerääminen geneettisten testien ja analyysien tekemistä varten on periaatteellisista syistä kielletty;

 

d) työehtosopimuksissa voidaan määrätä, onko puhelimen, sähköpostin, internetin ja muiden televiestintäpalvelujen käyttäminen henkilökohtaisiin tarkoituksiin sallittua ja missä määrin. Jos tätä ei säännellä työehtosopimuksilla, työnantaja sopii asiasta suoraan työntekijän kanssa. Jos käyttö henkilökohtaisiin tarkoituksiin sallitaan, kerättyjen teleliikennetietojen käsittely on sallittua erityisesti tietoturvallisuuden takaamiseksi, televiestintäverkkojen ja -palvelujen asianmukaisen toiminnan takaamiseksi sekä laskutustarkoituksiin.

 

Jäsenvaltiot voivat kolmannesta virkkeestä poiketen lainsäädännöllä ja vahvistamalla asianmukaiset määräajat tietojen poistamiselle sallia tietojen käsittelyn tapauksissa, joissa on perusteltuja ja pakollisen dokumentoinnin avulla varmistettuja syitä epäillä, että työntekijä on työsuhteessa syyllistynyt rikokseen tai vakavaan velvollisuuksien laiminlyöntiin, ja joissa tiedot ovat tarpeellisia rikoksen paljastamiseksi ja tietojen keräämisen luonne ja laajuus ovat tarpeellisia ja oikeasuhteisia tarkoitukseensa nähden. Työntekijän yksityisyyttä ja yksityiselämää on aina kunnioitettava. Tutkinnan suorittaa toimivaltainen viranomainen;

 

e) työntekijöiden henkilötietoja ja erityisesti arkaluontoisia tietoja, kuten poliittista suuntautumista taikka ammattiyhdistyksiin kuulumista tai niissä toimimista koskevia tietoja, ei saa missään tapauksessa käyttää työntekijöiden mustalle listalle merkitsemiseen ja tarkastusten tekemiseen tai työntekijöiden työnsaannin estämiseen tulevaisuudessa. Mustien listojen käsittely, käyttö työsuhteen yhteydessä sekä mustien listojen laatiminen työntekijöistä ja niiden välittäminen eteenpäin ja muut syrjinnän muodot ovat kiellettyjä. Jäsenvaltioiden on tehtävä tarkistuksia ja hyväksyttävä asianmukaisia seuraamuksia 79 artiklan 6 kohdan mukaisesti, jotta varmistetaan tämän kohdan tehokas täytäntöönpano.

 

1 d. Yritysryhmän sisällä ja oikeudellisia asioita koskevaa neuvontaa ja veroneuvontaa tarjoavien asiantuntijoiden kanssa tapahtuva oikeudellisesti itsenäisten yritysten välinen työntekijöiden henkilötietojen siirtäminen ja käsittely on sallittua, jos se on tarkoituksenmukaista yrityksen toiminnan kannalta ja tarpeellista tiettyjen tehtävien hoitamiseksi tai hallinnollisten menettelyjen toteuttamiseksi eikä ole ristiriidassa asianomaisen henkilön etujen ja perusoikeuksien suojelun kanssa. Jos työntekijän henkilötiedot siirretään kolmanteen maahan ja/tai kansainväliselle järjestölle, sovelletaan V lukua.

2. Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

2. Jäsenvaltioiden on toimitettava 1 ja 1 b kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

3. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset 1 kohdassa tarkoitettuja tarkoituksia varten suoritettavaa henkilötietojen käsittelyä koskevia takeita varten.

3. Siirretään komissiolle valta antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset 1 kohdassa tarkoitettuja tarkoituksia varten suoritettavaa henkilötietojen käsittelyä koskevia takeita varten.

Tarkistus  193

Ehdotus asetukseksi

82 a artikla (uusi)

Komission teksti

Tarkistus

 

82 a artikla

 

Henkilötietojen käsittely sosiaaliturvan yhteydessä

 

1. Jäsenvaltiot voivat tämän asetuksen säännösten mukaisesti antaa erityisiä oikeudellisia sääntöjä, joissa määritellään julkisten elinten ja yksiköiden toteuttaman henkilötietojen käsittelyn edellytykset sosiaaliturvan yhteydessä, jos käsittely tapahtuu yleisen edun vuoksi.

 

2. Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

Tarkistus  194

Ehdotus asetukseksi

83 artikla

Komission teksti

Tarkistus

Henkilötietojen käsittely historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten

Henkilötietojen käsittely historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten

1. Henkilötietoja voidaan käsitellä historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten tässä asetuksessa asetetuissa rajoissa vain, jos

1. Henkilötietoja voidaan käsitellä historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten tässä asetuksessa vahvistettujen sääntöjen mukaisesti vain, jos

a) näitä tarkoituksia ei voida muutoin täyttää käsittelemällä tietoja, joiden perusteella rekisteröityä ei voida tunnistaa tai ei voida enää tunnistaa;

a) näitä tarkoituksia ei voida muutoin täyttää käsittelemällä tietoja, joiden perusteella rekisteröityä ei voida tunnistaa tai ei voida enää tunnistaa;

b) tiedot, joiden avulla tiedot voidaan kohdentaa tunnistettuun tai tunnistettavissa olevaan rekisteröityyn, pidetään erillään muista tiedoista siltä osin kuin nämä tarkoitukset voidaan täyttää tällä tavoin.

b) tiedot, joiden avulla tiedot voidaan kohdentaa tunnistettuun tai tunnistettavissa olevaan rekisteröityyn, pidetään erillään muista tiedoista erittäin tiukkojen teknisten vaatimusten mukaisesti, ja kaikki tarvittavat toimenpiteet on toteutettava rekisteröityjen aiheettoman uudelleen tunnistamisen estämiseksi.

2. Elimet, jotka suorittavat historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimuksia, voivat julkaista tai muulla tavoin julkistaa henkilötietoja vain, jos

 

a) rekisteröity on antanut siihen suostumuksensa 7 artiklassa säädettyjen edellytysten mukaisesti;

 

b) henkilötietojen julkaiseminen on tarpeen tutkimustulosten esittämistä varten tai tutkimuksen helpottamiseksi siltä osin kuin rekisteröidyn edut tai perusoikeudet tai -vapaudet eivät syrjäytä näitä etuja; tai

 

c) rekisteröity on itse julkistanut tiedot.

 

3. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset henkilötietojen käsittelylle 1 ja 2 kohdassa tarkoitettuja tarkoituksia varten sekä mahdolliset rekisteröidyn tiedonsaantioikeutta koskevat rajoitukset ja täsmennetään rekisteröidyn oikeuksia näissä olosuhteissa koskevat edellytykset ja takeet.

 

Tarkistus  195

Ehdotus asetukseksi

83 a artikla (uusi)

Komission teksti

Tarkistus

 

83 a artikla

 

Arkistojen suorittama henkilötietojen käsittely

 

1. Henkilötietoja voivat käsitellä niiden keräämiseen liittyvän alkuperäisen käsittelytavoitteen toteuttamiseksi tarpeellisen ajanjakson jälkeen arkistot, joiden päätehtävänä tai oikeudellisena velvoitteena on arkistotietojen kerääminen, tallentaminen, luokitteleminen, viestittäminen, hyödyntäminen ja jakaminen yleisen edun vuoksi erityisesti henkilöiden oikeuksien perustelua taikka historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten. Toimet suoritetaan hallinnollisten asiakirjojen tai arkistojen saatavuutta, tarjoamista ja jakelua koskevia jäsenvaltioiden menettelyjä noudattaen ja tässä asetuksessa vahvistettujen sääntöjen mukaisesti, etenkin mitä tulee suostumukseen sekä oikeuteen vastustaa tietojen käsittelyä.

 

2. Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

Tarkistus  196

Ehdotus asetukseksi

84 artikla – 1 kohta

Komission teksti

Tarkistus

1. Jäsenvaltiot voivat tässä asetuksessa asetetuissa rajoissa antaa erityissääntöjä valvontaviranomaisten 53 artiklan 2 kohdassa säädetyistä tutkintavaltuuksista suhteessa rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joita koskee kansalliseen lainsäädäntöön perustuva tai kansallisten toimivaltaisten elinten asettama salassapitovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen ja oikeasuhteista henkilötietojen suojan ja salassapitovelvollisuuden yhteensovittamiseksi. Näitä sääntöjä sovelletaan ainoastaan niihin henkilötietoihin, jotka rekisterinpitäjä tai henkilötietojen käsittelijä on vastaanottanut tai saanut tämän salassapitovelvollisuuden piiriin kuuluvan toiminnan yhteydessä.

1. Jäsenvaltioiden on tässä asetuksessa vahvistettujen sääntöjen mukaisesti varmistettava, että on olemassa erityissääntöjä valvontaviranomaisten 53 artiklassa säädetyistä valtuuksista suhteessa rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joita koskee kansalliseen lainsäädäntöön perustuva tai kansallisten toimivaltaisten elinten asettama salassapitovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen ja oikeasuhteista henkilötietojen suojan ja salassapitovelvollisuuden yhteensovittamiseksi. Näitä sääntöjä sovelletaan ainoastaan niihin henkilötietoihin, jotka rekisterinpitäjä tai henkilötietojen käsittelijä on vastaanottanut tai saanut tämän salassapitovelvollisuuden piiriin kuuluvan toiminnan yhteydessä.

Tarkistus  197

Ehdotus asetukseksi

85 artikla

Komission teksti

Tarkistus

Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt

Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt

1. Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan kattavia sääntöjä, jotka koskevat yksilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä voidaan soveltaa edelleen, jos ne saatetaan tämän asetuksen säännösten mukaisiksi.

1. Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan asianmukaisia sääntöjä, jotka koskevat yksilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä voidaan soveltaa edelleen, jos ne saatetaan tämän asetuksen säännösten mukaisiksi.

2. Edellä 1 kohdassa tarkoitettuja kattavia sääntöjä soveltavien kirkkojen ja uskonnollisten yhdistysten on säädettävä riippumattoman valvontaviranomaisen perustamisesta tämän asetuksen VI luvun mukaisesti.

2. Edellä 1 kohdassa tarkoitettuja asianmukaisia sääntöjä soveltavien kirkkojen ja uskonnollisten yhdistysten on hankittava 38 artiklan mukainen noudattamista koskeva lausunto.

Tarkistus  198

Ehdotus asetukseksi

85 a artikla (uusi)

Komission teksti

Tarkistus

 

85 a artikla

 

 

 

Perusoikeuksien kunnioittaminen

 

Tämä asetus ei vaikuta velvoitteeseen kunnioittaa SEU-sopimuksen 6 artiklassa vahvistettuja perusoikeuksia ja oikeudellisia perusperiaatteita.

Tarkistus  199

Ehdotus asetukseksi

85 b artikla (uusi)

Komission teksti

Tarkistus

 

85 b artikla

 

Vakiolomakkeet

 

1. Komissio voi – ottaen huomioon eri alojen ja tietojenkäsittelytilanteiden erityisominaisuudet ja tarpeet – laatia vakiolomakkeet:

 

a) 8 artiklan 1 kohdassa tarkoitettuja. todennettavissa olevan suostumuksen saamiseksi käytettäviä erityisiä menetelmiä varten,

 

b) 12 artiklan 2 kohdassa tarkoitettua ilmoittamista varten, sähköinen ilmoittaminen mukaan luettuna,

 

c) 14 artiklan 1–3 kohdassa tarkoitettua ilmoittamista varten,

 

d) 15 artiklan 1 kohdassa tarkoitettua tiedon pyytämistä ja saantia varten, henkilötietojen toimittaminen rekisteröidylle mukaan luettuna,

 

e) 28 artiklan 1 kohdassa tarkoitettuja asiakirjoja varten,

 

f) 31 artiklan mukaisia valvontaviranomaiselle lähetettäviä tietoturvaloukkausta koskevia ilmoituksia ja 31 artiklassa tarkoitettuja asiakirjoja varten,

 

g) 34 artiklassa tarkoitettuja ennakkokuulemisia varten ja 34 artiklan 6 kohdassa tarkoitettua valvontaviranomaiselle ilmoittamista varten.

 

2. Tässä yhteydessä komissio toteuttaa tarvittavat toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

 

3. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Tarkistus  200

Ehdotus asetukseksi

86 artikla – 2 kohta

Komission teksti

Tarkistus

2. Siirretään 6 artiklan 5 kohdassa, 8 artiklan 3 kohdassa, 9 artiklan 3 kohdassa, 12 artiklan 5 kohdassa, 14 artiklan 7 kohdassa, 15 artiklan 3 kohdassa, 17 artiklan 9 kohdassa, 20 artiklan 7 kohdassa, 22 artiklan 4 kohdassa, 23 artiklan 3 kohdassa, 26 artiklan 5 kohdassa, 28 artiklan 5 kohdassa, 30 artiklan 3 kohdassa, 31 artiklan 5 kohdassa, 32 artiklan 5 kohdassa, 33 artiklan 6 kohdassa, 34 artiklan 8 kohdassa, 35 artiklan 11 kohdassa, 37 artiklan 2 kohdassa, 39 artiklan 2 kohdassa, 43 artiklan 3 kohdassa, 44 artiklan 7 kohdassa, 79 artiklan 6 kohdassa, 81 artiklan 3 kohdassa, 82 artiklan 3 kohdassa ja 83 artiklan 3 kohdassa tarkoitettu valta antaa delegoituja säädöksiä komissiolle määräämättömäksi ajaksi tämän asetuksen voimaantulopäivästä alkaen.

2. Siirretään komissiolle määräämättömäksi ajaksi tämän asetuksen voimaantulosta alkaen 13 a artiklan 5 kohdassa, 17 artiklan 9 kohdassa, 38 artiklan 4 kohdassa, 39 artiklan 2 kohdassa, 41 artiklan 3 kohdassa, 41 artiklan 5 kohdassa, 43 artiklan 3 kohdassa, 79 artiklan 7 kohdassa, 81 artiklan 3 kohdassa ja 82 artiklan 3 kohdassa tarkoitettu valta antaa delegoituja säädöksiä.

Tarkistus  201

Ehdotus asetukseksi

86 artikla – 3 kohta

Komission teksti

Tarkistus

3. Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 6 artiklan 5 kohdassa, 8 artiklan 3 kohdassa, 9 artiklan 3 kohdassa, 12 artiklan 5 kohdassa, 14 artiklan 7 kohdassa, 15 artiklan 3 kohdassa, 17 artiklan 9 kohdassa, 20 artiklan 5 kohdassa, 22 artiklan 4 kohdassa, 23 artiklan 3 kohdassa, 26 artiklan 5 kohdassa, 28 artiklan 5 kohdassa, 30 artiklan 3 kohdassa, 31 artiklan 5 kohdassa, 32 artiklan 5 kohdassa, 33 artiklan 7 kohdassa, 34 artiklan 8 kohdassa, 35 artiklan 11 kohdassa, 37 artiklan 2 kohdassa, 39 artiklan 2 kohdassa, 43 artiklan 3 kohdassa, 44 artiklan 7 kohdassa, 79 artiklan 6 kohdassa, 81 artiklan 3 kohdassa, 82 artiklan 3 kohdassa ja 83 artiklan 3 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Päätös tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, päätöksessä mainittuna päivänä. Päätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

3. Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 13 a artiklan 5 kohdassa, 17 artiklan 9 kohdassa, 38 artiklan 4 kohdassa, 39 artiklan 2 kohdassa, 41 artiklan 3 kohdassa, 41 artiklan 5 kohdassa, 43 artiklan 3 kohdassa, 79 artiklan 7 kohdassa, 81 artiklan 3 kohdassa ja 82 artiklan 3 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Päätös tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, päätöksessä mainittuna päivänä. Päätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

Tarkistus  202

Ehdotus asetukseksi

86 artikla – 5 kohta

Komission teksti

Tarkistus

5. Edellä olevien 6 artiklan 5 kohdan, 8 artiklan 3 kohdan, 9 artiklan 3 kohdan, 12 artiklan 5 kohdan, 14 artiklan 7 kohdan, 15 artiklan 3 kohdan, 17 artiklan 9 kohdan, 20 artiklan 5 kohdan, 22 artiklan 4 kohdan, 23 artiklan 3 kohdan, 26 artiklan 5 kohdan, 28 artiklan 5 kohdan, 30 artiklan 3 kohdan, 31 artiklan 5 kohdan, 32 artiklan 5 kohdan, 33 artiklan 7 kohdan, 34 artiklan 8 kohdan, 35 artiklan 11 kohdan, 37 artiklan 2 kohdan, 39 artiklan 2 kohdan, 43 artiklan 3 kohdan, 44 artiklan 7 kohdan, 79 artiklan 6 kohdan, 81 artiklan 3 kohdan, 82 artiklan 3 kohdan ja 83 artiklan 3 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kahden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuukaudella.

5. Edellä olevien 13 a artiklan 5 kohdan, 17 artiklan 9 kohdan, 38 artiklan 4 kohdan, 39 artiklan 2 kohdan, 41 artiklan 3 kohdan, 41 artiklan 5 kohdan, 43 artiklan 3 kohdan, 79 artiklan 7 kohdan, 81 artiklan 3 kohdan ja 82 artiklan 3 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kuuden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kuudella kuukaudella.

 

Tarkistus  203

Ehdotus asetukseksi

87 artikla – 3 kohta

Komission teksti

Tarkistus

3. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 8 artiklaa yhdessä 5 artiklan kanssa.

Poistetaan.

Tarkistus  204

Ehdotus asetukseksi

89 artikla – 2 kohta

Komission teksti

Tarkistus

2. Kumotaan direktiivin 2002/58/EY 1 artiklan 2 kohta.

2. Kumotaan direktiivin 2002/58/EY 1 artiklan 2, 4 ja 15 kohta.

Tarkistus  205

Ehdotus asetukseksi

89 artikla – 2 a kohta (uusi)

Komission teksti

Tarkistus

 

2 a. Komissio esittää viipymättä ja viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ehdotuksia henkilötietojen käsittelyä ja yksityisyyden suojaa sähköisessä viestinnässä koskevan oikeudellisen kehyksen uudistamisesta, jotta se vastaisi tämän asetuksen säännöksiä, sekä varmistaa johdonmukaisen ja yhtenäisen lainsäädännön, joka koskee perusoikeutta henkilötietojen suojaan Euroopan unionissa.

Tarkistus  206

Ehdotus asetukseksi

89 a artikla (uusi)

Komission teksti

Tarkistus

 

89 a artikla

 

Suhde asetukseen (EY) N:o 45/2001 ja asetuksen muuttaminen

 

1. Tässä asetuksessa vahvistettuja sääntöjä sovelletaan unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn asioissa, jotka eivät kuulu asetuksessa (EY) N:o 45/2001 vahvistettujen lisäsääntöjen piiriin.

 

2. Komissio esittää viipymättä ja viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ehdotuksia unionin toimielinten, elinten ja laitosten suorittamaa henkilötietojen käsittelyä koskevan oikeudellisen kehyksen uudistamisesta.

Liite 1 – Edellä 13 a artiklassa (uusi) mainittujen yksityiskohtaisten tietojen esittely

1) Ottaen huomioon 6 kohdassa mainitut mittasuhteet yksityiskohdat olisi esitettävä seuraavasti:

2) Seuraavat sanat kohdan 1 taulukon ”PERUSTIEDOT” toisen sarakkeen riveillä on lihavoitava:

a) sana ”kerätä” toisen sarakkeen ensimmäisellä rivillä;

b) sana ”säilytetä” toisen sarakkeen toisella rivillä;

c) sana ”käsitellä” toisen sarakkeen kolmannella rivillä;

d) sana ”jaeta” toisen sarakkeen neljännellä rivillä;

e) sanat ”myydä tai vuokrata” toisen sarakkeen viidennellä rivillä;

f) sana ”suojaamattomassa” toisen sarakkeen kuudennella rivillä.

3) Ottaen huomioon yksityiskohdat, joihin viitataan 6 kohdassa, 1 kohdan taulukon kolmannen sarakkeen, jonka otsikko on ”TÄYTTYNYT”, rivit on täytettävä toisella seuraavista kahdesta graafisesta muodosta 4 kohdassa vahvistettujen ehtojen mukaisesti:

a)

b)

4)

a) Jos henkilötietoja ei kerätä suurempia määriä kuin on välttämätöntä käsittelyn kunkin tarkoituksen toteuttamiseksi, 1 kohdan taulukon kolmannen sarakkeen ensimmäisellä rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

b) Jos henkilötietoja kerätään suurempia määriä kuin on välttämätöntä käsittelyn kunkin tarkoituksen toteuttamiseksi, 1 kohdan taulukon kolmannen sarakkeen ensimmäisellä rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

c) Jos henkilötietoja ei säilytetä kauemmin kuin on välttämätöntä käsittelyn kunkin tarkoituksen toteuttamiseksi, 1 kohdan taulukon kolmannen sarakkeen toisella rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

d) Jos henkilötietoja säilytetään kauemmin kuin on välttämätöntä käsittelyn kunkin tarkoituksen toteuttamiseksi, 1 kohdan taulukon kolmannen sarakkeen toisella rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

e) Jos henkilötietoja ei käsitellä muita kuin niitä tarkoituksia varten, joihin ne on kerätty, 1 kohdan taulukon kolmannen sarakkeen kolmannella rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

f) Jos henkilötietoja käsitellään muita kuin niitä tarkoituksia varten, joihin ne on kerätty, 1 kohdan taulukon kolmannen sarakkeen kolmannella rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

g) Jos henkilötietoja ei jaeta kaupallisille yrityksille, 1 kohdan taulukon kolmannen sarakkeen neljännellä rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

h) Jos henkilötietoja jaetaan kaupallisille yrityksille, 1 kohdan taulukon kolmannen sarakkeen neljännellä rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

i) Jos henkilötietoja ei myydä tai vuokrata, 1 kohdan taulukon kolmannen sarakkeen viidennellä rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

j) Jos henkilötietoja myydään tai vuokrataan, 1 kohdan taulukon kolmannen sarakkeen viidennellä rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

k) Jos henkilötietoja ei säilytetä suojaamattomassa muodossa, 1 kohdan taulukon kolmannen sarakkeen kuudennella rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

l) Jos henkilötietoja säilytetään suojaamattomassa muodossa, 1 kohdan taulukon kolmannen sarakkeen kuudennella rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

5) Edellä 1 kohdan graafisten muotojen viitevärit ovat Black Pantone nro 7547 ja Red Pantone nro 485. Edellä 3 kohdan a alakohdan graafisen muodon viiteväri on Green Pantone nro 370. Edellä 3 kohdan b alakohdan graafisen muodon viiteväri on Red Pantone nro 485.

6) Seuraavassa piirroksessa esitettyjä mittasuhteita on noudatettava, vaikka taulukkoa pienennettäisiin tai suurennettaisiin:

           

(1)

EUVL C 229, 31.7.2012, s. 90.


PERUSTELUT

Johdanto

EU:n perusoikeuskirjan 8 artiklassa henkilötietojen suojaa säännellään seuraavasti:

1.        Jokaisella on oikeus henkilötietojensa suojaan.

2.        Tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi.

3.        Riippumaton viranomainen valvoo näiden sääntöjen noudattamista.

Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun direktiivin 95/46/EY hyväksymisen jälkeen tietosuojan alalla on tapahtunut paljon muutoksia, esimerkiksi teknologia on kehittynyt, henkilötietoja kerätään ja käsitellään yhä enemmän myös lainvalvontatarkoituksiin monenkirjavan tietosuojasäännöstön perusteella ja markkinat ja yhteistyö on globalisoitunut.

Direktiivillä ei myöskään ole saatu aikaan asianmukaista yhdenmukaistamista, sillä eri jäsenvaltiot ovat soveltaneet direktiivin säännöksiä eri tavoin. Tässä yhteydessä yksilöiden ("rekisteröityjen") on yhä vaikeampaa käyttää oikeuttaan tietosuojaan.

Lisäksi sisämarkkinoiden kehitys on vaikeutunut yritysten (jotka valvovat tai käsittelevät henkilötietoja, "rekisterinpitäjät") ja yksilöiden kohdatessa eroavaisuuksia tietosuojavaatimuksissa.

Lissabonin sopimuksen voimaantulon jälkeen unionissa on tietosuojaa koskeva selkeä oikeusperusta, joka kattaa henkilötietojen käsittelyn, paitsi julkisella ja yksityisellä sektorilla, myös lainvalvontaan liittyen (mikä on seurausta ennen Lissabonin sopimuksen voimaantuloa sovelletun pilarirakenteen purkamisesta) (SEUT-sopimuksen 16 artiklan 2 kohta). Komissio on käyttänyt SEUT-sopimuksen 16 artiklan 2 kohtaa oikeusperustana esittäessään ehdotuksia unionin tietosuojakehyksen uudistamiseksi. Se esittää ehdotuksen asetukseksi (COM(2012)0011), jolla korvataan direktiivi 95/46/EY (esittelijä Jan Philipp Albrecht, Verts/ALE), sekä ehdotuksen direktiiviksi (COM(2012)0010), jolla korvataan puitepäätös 2008/977/YOS rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta (esittelijä Dimitrios Droutsas, S&D). Kummatkin esittelijät tukevat tavoitetta luoda kokonaisvaltainen, yhtenäinen ja vankka kehys, joka sisältää kaiken EU:n sisäisen tiedonkäsittelytoiminnan korkeatasoisen suojan(1).

Jotta tämä tavoite voidaan saavuttaa, komission ehdotukset on nähtävä yhtenä pakettina, joka edellyttää kumpaakin säädöstekstiä koskevia yhteen sovitettuja lainsäädännöllisiä lähestymistapoja.

Esittelijät ja varjoesittelijät, lausunnon antavien valiokuntien (ITRE, IMCO, JURI, EMPL) valmistelijat ja varjovalmistelijat, neuvoston puheenjohtajavaltio sekä komissio ja sidosryhmät (tietosuojaviranomaiset, kansalliset viranomaiset, alan toimijat, kansalaisoikeusjärjestöt ja kuluttajajärjestöt sekä akateemiset asiantuntijat) ovat käyneet laajoja keskusteluja, jotta voidaan varmistaa laaja tuki parlamentin kannalle.

LIBE-valiokunta järjesti sidosryhmien seminaarin 29. toukokuuta 2012. Se järjesti lisäksi vuosittaisen parlamenttien välisen vapauden, oikeuden ja turvallisuuden aluetta koskevia asioita koskevan valiokuntakokouksen yhdessä kansallisten parlamenttien kanssa 9. ja 10. lokakuuta 2012. Kokouksessa käsiteltiin tietosuojalainsäädännön uudistamista koskevaa pakettia. Tietosuojalainsäädännön uudistamista koskevasta paketista laadittiin neljä työasiakirjaa.

Tietosuoja-asetusehdotusta koskeva kanta

Komission ehdotus perustuu seuraaviin päämääriin:

– kattava lähestymistapa tietosuojaan

– yksilön oikeuksien lujittaminen

– sisämarkkinoiden ulottuvuuden edistäminen edelleen ja tietosuojasääntöjen paremman täytäntöönpanon varmistaminen

– Maailmanlaajuisen ulottuvuuden vahvistaminen

Esittelijä tukee näitä tavoitteita. Esittelijän lähestymistapansa esitetään näiden tavoitteiden perusteella.

Kattava lähestymistapa tietosuojaan

Kuten 6. heinäkuuta 2012(2) annetussa työasiakirjassa ilmoitettiin, esittelijä pitää komission päätöstä korvata direktiivi 95/46 (suoraan sovellettavalla) asetuksella myönteisenä, sillä tämän pitäisi vähentää jäsenvaltioiden välistä hajanaista lähestymistapaa tietosuojaan.

Esittelijä tukee myös komission valitsemaa käytännöllistä lähestymistapaa, jonka mukaan asetuksessa annetaan jäsenvaltioille mahdollisuus säilyttää tai antaa erityissääntöjä esimerkiksi sananvapautta, salassapitovelvollisuutta, terveyttä ja työllisyyttä koskevista asioista (81–85 artikla). Tässä yhteydessä viitataan erityisesti työllisyyden ja sosiaaliasioiden valiokunnan työhön, jonka tavoitteena on antaa 82 artiklaa(3) koskeva lausunto.

EU:n toimielimet eivät kuulu uuden asetuksen soveltamisalaan. Niiden olisi kuitenkin kuuluttava, jotta varmistetaan johdonmukainen ja yhtenäinen kehys kaikkialla unionissa. Tämä vaatii muiden EU:n säädösten, erityisesti asetuksen (EY) N:o 45/2001, mukauttamista, jotta ne saatetaan täysin yleisen tietosuoja-asetuksen mukaiseksi, ennen kuin viimeksi mainittua asetusta sovelletaan. Esittelijän mukaan tarvitaan myös laaja-alaisempaa keskustelua siitä, miten EU:n erityisvirastojen (kuten Europolin ja Eurojustin) tietosuojasääntöjen nykyiseen kirjavuuteen voidaan puuttua sekä varmistaa yhdenmukaisuus tietosuojapaketin kanssa (2 artiklan b alakohta, 89 a artikla).

Esittelijä pitää erittäin valitettavana, että komission ehdotus ei kata lainvalvontayhteistyötä (josta on laadittu erillinen direktiiviehdotus). Tämä aiheuttaa rajatapauksissa sovellettavia oikeuksia ja velvollisuuksia koskevaa oikeudellista epävarmuutta, esimerkiksi tapauksissa, joissa lainvalvontaviranomaiset käsittelevät kaupallisia tietoja lainvalvontatarkoituksiin ja tietoja siirretään lainvalvonnasta vastaavien viranomaisten ja sellaisten viranomaisten, jotka eivät vastaa lainvalvonnasta, välillä. Ehdotettua direktiiviä koskevassa mietinnössä käsitellään näitä asioita ja esitetään tarkistuksia. Asetuksessa määritellään, että ainoastaan toimivaltaiset viranomaiset jäävät sen soveltamisalan ulkopuolelle lainvalvontatehtävien osalta (eivät yksityiset toimijat) ja että sovellettavassa lainsäädännössä on säädettävä asianmukaisista takeista välttämättömyys- ja suhteellisuusperiaatteiden perusteella (2 artiklan e alakohta, 21 artikla).

Asetuksen alueellinen soveltamisala on tärkeä EU:n tietosuojalainsäädännön yhdenmukaisen soveltamisen kannalta. Esittelijä haluaa selventää, että tätä asetusta olisi myös voitava soveltaa rekisterinpitäjiin, jotka eivät ole sijoittautuneet unioniin, jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen rekisteröidyille unionissa riippumatta siitä, ovatko nämä tavarat tai palvelut maksullisia, tai näiden rekisteröityjen seurantaan (3 artiklan 2 kohta).

Asetuksen on oltava kattava myös oikeusvarmuuden varmistamisen osalta. Delegoitujen säädösten ja täytäntöönpanosäädösten laaja käyttö on tämän tavoitteen vastainen. Näin ollen esittelijä ehdottaa tiettyjen sellaisten säännösten poistamista, joissa komissiolle siirretään valta antaa delegoituja säädöksiä. Oikeusvarmuuden takaamiseksi silloin kun se on mahdollista, esittelijä on kuitenkin korvannut useat tällaiset säädökset yksityiskohtaisemmalla sanamuodolla (esimerkiksi 6 artiklan 1 kohdan b alakohta, 15 artikla ja 35 artiklan 10 kohta). Muissa tapauksissa esittelijä ehdottaa, että Euroopan tietosuojaneuvostolle annetaan tehtäväksi määritellä tarkemmin tiettyä säännöstä koskevat kriteerit ja vaatimukset sen sijaan, että komissiolle annetaan valta hyväksyä delegoitu säädös. Näissä tapauksissa asia nimittäin koskee kansallisten tietosuojavaltuutettujen välistä yhteistyötä ja näin ollen niillä itsellään on parhaat edellytykset päättää sovellettavista periaatteista ja käytänteistä (esimerkiksi 23 artiklan 3 kohta, 30 artiklan 3 kohta, 42 artiklan 3 kohta, 44 artiklan 7 kohta ja 55 artiklan 10 kohta).

Yksilön oikeuksien lujittaminen

Asetuksella toteutetaan perusoikeutta, joten aineellisen soveltamisalan, erityisesti "henkilötietojen" määritelmän, rajoittaminen esimerkiksi rekisterinpitäjän toimenpiteitä henkilötietojen tunnistamiseksi koskevien subjektiivisten tekijöiden käyttöönotolla hylätään. Henkilötietojen käsitettä tarkennetaan objektiivisten kriteerien avulla (4 artiklan 1 kohta, johdanto-osan 23 ja 24 kappale). Tiettyjä liiketoimintamalleja koskevia oikeutettuja huolenaiheita voidaan käsitellä yksilöiden perusoikeuksia epäämättä. Tässä yhteydessä esittelijä kannustaa käyttämään palveluita salanimellä ja nimettömästi. Salanimellä julkaistuja tietoja koskevia rekisterinpitäjän velvollisuuksia voitaisiin lieventää (4 artiklan 2 a kohta, 10 artikla ja johdanto-osan 23 kappale).

Suostumus tulisi säilyttää EU:n tietosuojaa koskevan lähestymistavan kulmakivenä, sillä tällä tavalla yksilöt hallitsevat parhaiten tietojenkäsittelytoimia. Rekisteröidyille annettavat tiedot on esitettävä helposti ymmärrettävässä muodossa, kuten vakiomuotoisina logoina tai kuvakkeina (11 artiklan 2 a ja 2 b kohta). Rekisteröidyn toiveita ilmaisevat tekniset standardit voidaan nähdä muodoltaan pätevänä tapana esittää nimenomainen suostumus (7 artiklan 2 a kohta, 23 artikla).

Profilointitoimintaa on määriteltävä ja säänneltävä, jotta varmistetaan rekisteröidyn tietoinen suostumus (4 artiklan 3 b kohta, 14 artiklan 1 kohdan g, g a ja g b alakohta, 15 artiklan 1 kohta ja 20 artikla). Muut oikeudelliset perusteet käsittelylle kuin suostumus, erityisesti rekisterinpitäjän "oikeutetut edut", olisi määriteltävä selkeästi (tarkistus, jolla 6 artiklan 1 kohdan f alakohta korvataan uudella 6 artiklan 1 a, 1 b ja 1 c kohdalla).

Käyttötarkoituksen rajoittaminen on keskeinen osa tietosuojaa, sillä tämän avulla rekisteröityjä suojataan tietojen käsittelyn ennalta arvaamattomalta laajentamiselta. Henkilötietojen käyttötarkoituksen muuttamisen niiden keräämisen jälkeen ei tulisi olla mahdollista pelkästään rekisterinpitäjän oikeutetun edun perusteella. Näin ollen esittelijä ehdottaa 6 artiklan 4 kohdan poistamista sen laajentamisen sijaan.

Esittelijä tukee tietojen saamisoikeuden vahvistamista oikeudella siirtää tietoja järjestelmästä toiseen. Digitaaliaikana rekisteröidyillä on myös kuluttajan roolissa oikeus saada henkilötietonsa yleisesti käytetyssä sähköisessä muodossa (15 artiklan 2 a kohta). Näin ollen esittelijä ehdottaa 15 ja 18 artiklan yhdistämistä.

Oikeus poistaa tietoja ja oikeus tietojen oikaisemiseen ovat edelleen tärkeitä rekisteröidyille, sillä tietoja luovutetaan yhä enenevissä määrin, millä voi olla merkittäviä vaikutuksia. "Oikeutta tulla unohdetuksi" on tarkasteltava tästä näkökulmasta. Ehdotetuilla tarkistuksilla selvennetään digitaaliseen ympäristöön liittyvät oikeudet ja samalla säilytetään sananvapautta koskeva yleinen poikkeus. Kolmansille osapuolille siirrettyjen tai ilman asianmukaista oikeusperustaa julkaistujen tietojen osalta alkuperäisen rekisterinpitäjän velvoite tulisi olla kyseisille kolmansille osapuolille ilmoittaminen ja tietojen poistamisen varmistaminen. Jos yksilö kuitenkin on antanut suostumuksensa tietojensa julkistamiselle, "oikeus tulla unohdetuksi" ei ole oikeutettu eikä realistinen (17 artikla, johdanto-osan 54 kappale).

Tietojen jatkokäsittelyn vastustamista koskevaa oikeutta olisi aina voitava käyttää maksutta ja sitä olisi tarjottava rekisteröidylle nimenomaisesti ja ymmärrettävällä tavalla, selkeällä ja yksinkertaisella kielellä, jossa otetaan huomioon rekisteröidyn tarpeet (19 artiklan 2 kohta). Mahdollisuuksia esimerkiksi yleisen edun hyväksi toimivien yhdistysten tehokkaaseen muutoksenhakuun on myös parannettava (73 ja 76 artikla).

Sisämarkkinoiden ulottuvuuden edistäminen edelleen ja tietosuojasääntöjen paremman täytäntöönpanon varmistaminen

Esittelijä pitää myönteisenä ehdotusta siirtyä tietosuojaviranomaisille ilmoittamisen velvollisuudesta käytännön tilivelvollisuuteen ja yritysten tietosuojavastaaviin. Ehdotettua asetusta voidaan yksinkertaistaa yhdistämällä ilmoitusoikeudet ja dokumentointivaatimukset, jotka voidaan nähdä saman kolikon kahtena puolena. Tämä vähentäisi rekisterinpitäjien hallinnollista rasitusta ja auttaisi yksilöitä ymmärtämään ja käyttämään oikeuksiaan (14 ja 28 artikla). Etäresurssipalvelujen aikana tietosuojavastaavan nimittämisen velvollisuutta koskevan kynnyksen ei pitäisi perustua yrityksen kokoon, vaan pikemminkin siihen, mikä merkitys henkilötietojen käsittelyllä on (henkilötietojen ryhmä, käsittelytoiminnan tyyppi ja niiden henkilöiden määrä, joiden henkilötietoja käsitellään) (35 artikla). Selvennetään, että tietosuojavastaava voi toimia osa-aikaisesti, yrityksen koosta ja käsiteltävän tiedon määrästä riippuen (johdanto-osan 75 kappale).

Sisäänrakennettua ja oletusarvoista tietosuojaa pidetään uudistuksen keskeisenä innovaationa. Tällä varmistettaisiin, että käsitellään vain niitä henkilötietoja, jotka ovat välttämättömiä tietyn käsittelytarkoituksen kannalta. Tuottajia ja palveluntarjoajia kehotetaan toteuttamaan asianmukaiset toimenpiteet. Euroopan tietosuojaneuvostolle annetaan tehtäväksi antaa lisäohjeita (23 artikla). Yksityisyyden suojaa koskevaa vaikutustenarviointia koskevilla tarkistuksilla pyritään määrittämään tarkemmin ne tilanteet, jolloin arviointi on tehtävä (33 artiklan 2 kohta) ja arviointiin sisältyvät elementit (33 artiklan 3 kohta).

Esittelijä ehdottaa, että aikaa, jonka kuluessa valvontaviranomaiselle on ilmoitettava henkilötietojen tietoturvaloukkauksesta, pidennetään 24:stä 72:een tuntiin. Rekisteröityjen ilmoitusväsymyksen estämiseksi rekisteröidyille on lisäksi ilmoitettava vain tapauksista, joissa tietoturvaloukkaus todennäköisesti vaikuttaa haitallisesti rekisteröidyn henkilötietoihin tai yksityisyyteen, esimerkiksi henkilötietovarkauksista tai -petoksista, taloudellisista menetyksistä, fyysisestä haitasta, huomattavan vakavasta nöyryytyksestä tai maineen vahingoittamisesta. Ilmoituksen tulisi sisältää myös kuvaus henkilötietojen tietoturvaloukkauksen luonteesta sekä tiedot oikeuksista ja mahdollisuuksista muutoksenhakuun (31 ja 32 artikla). Oikeusvarmuuden takaamiseksi ehdotetaan, että komissio antaa delegoituja säädöksiä tietoturvaloukkauksien ilmoittamisesta, vaikutustenarvioinneista sekä tietojen poistamisesta ja oikeudesta tulla unohdetuksi ennen asetuksen soveltamispäivämäärää (86 artiklan 5 a kohta).

Käytännesääntöjä sekä sertifiointeja ja sinettejä kannatetaan, mutta niiden käyttöönotossa tarvitaan lisäksi kannustimia ja selkeämpiä sääntöjä niiden sisältämistä periaatteista sekä tietojenkäsittelyn lainmukaisuutta, vastuita ja vastaavia kysymyksiä koskevista seurauksista. Komission toteamissa käytännesäännöissä on annettava rekisteröidyille täytäntöönpanokelpoisia oikeuksia, jotta ne olisivat asetuksen mukaisia. Sertifiointisinettien osalta on määriteltävä sinettien myöntämistä ja peruuttamista koskeva muodollinen menettely ja niiden osalta on varmistettava, että tietosuojaperiaatteita ja