(Tavallinen lainsäätämisjärjestys: ensimmäinen käsittely)

Euroopan parlamentti, joka

–  ottaa huomioon komission ehdotuksen Euroopan parlamentille ja neuvostolle (COM(2012)0011),

–  ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 2 kohdan ja 16 artiklan 2 kohdan sekä 114 artiklan 1 kohdan, joiden mukaisesti komissio on antanut ehdotuksen Euroopan parlamentille (C7‑0025/2012),

–  ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 3 kohdan,

–  ottaa huomioon Belgian edustajainhuoneen, Saksan liittoneuvoston, Ranskan senaatin, Italian edustajainhuoneen ja Ruotsin valtiopäivien toissijaisuus- ja suhteellisuusperiaatteen soveltamisesta tehdyn pöytäkirjan N:o 2 mukaisesti antamat perustellut lausunnot, joiden mukaan esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi ei ole toissijaisuusperiaatteen mukainen,

–  ottaa huomioon Euroopan talous- ja sosiaalikomitean 23. toukokuuta 2012 antaman lausunnon(1),

–  on kuullut alueiden komiteaa,

–  ottaa huomioon Euroopan tietosuojavaltuutetun 7. maaliskuuta 2012 antaman lausunnon(2),

–  ottaa huomioon Euroopan unionin perusoikeusviraston 1. lokakuuta 2012 antaman lausunnon,

–  ottaa huomioon työjärjestyksen 55 artiklan,

–  ottaa huomioon kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan mietinnön sekä työllisyyden ja sosiaaliasioiden valiokunnan, teollisuus-, tutkimus- ja energiavaliokunnan, sisämarkkina- ja kuluttajansuojavaliokunnan ja oikeudellisten asioiden valiokunnan lausunnot (A7-0402/2013),

1.  vahvistaa jäljempänä esitetyn ensimmäisen käsittelyn kannan;

2.  pyytää komissiota antamaan asian uudelleen Euroopan parlamentin käsiteltäväksi, jos se aikoo tehdä ehdotukseensa huomattavia muutoksia tai korvata sen toisella ehdotuksella;

3.  kehottaa puhemiestä välittämään parlamentin kannan neuvostolle ja komissiolle sekä kansallisille parlamenteille.

(1) EUVL C 229, 31.7.2012, s. 90. (2) EUVL C 192, 30.6.2012, s. 7.

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan 2 kohdan ja 114 artiklan 1 kohdan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon(1),

ovat kuulleet alueiden komiteaa,

ottavat huomioon Euroopan tietosuojavaltuutetun lausunnon(2),

noudattavat tavallista lainsäätämisjärjestystä(3),

sekä katsovat seuraavaa:

(1)  Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan, jäljempänä "perusoikeuskirja", 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.

(2)  Henkilötietojen käsittelyn on tarkoitus palvella ihmistä, minkä vuoksi niissä periaatteissa ja säännöissä, jotka koskevat yksilöiden suojelua henkilötietojen käsittelyssä, olisi henkilöiden kansalaisuudesta ja asuinpaikasta riippumatta otettava huomioon heidän perusoikeutensa ja ‑vapautensa ja erityisesti oikeus henkilötietojen suojaan. Henkilötietojen käsittelyn olisi tuettava vapauden, turvallisuuden ja oikeuden alueen ja talousunionin kehittämistä, taloudellista ja sosiaalista edistystä, talouksien lujittamista ja lähentämistä sisämarkkinoilla sekä yksilöiden hyvinvointia.

(3)  Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(4) tarkoituksena on yhdenmukaistaa luonnollisten henkilöiden henkilötietojen käsittelyä koskevien perusoikeuksien ja ‑vapauksien suojelua ja taata henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä.

(4)  Sisämarkkinoiden toiminnasta aiheutuva taloudellinen ja sosiaalinen yhdentyminen on huomattavasti lisännyt kansainvälisiä tiedonsiirtoja. Tietojenvaihto unionin taloudellisten, sosiaalisten, julkisten ja yksityisten toimijoiden kesken on lisääntynyt. Unionin lainsäädännössä jäsenvaltioiden viranomaisia kehotetaan toimimaan yhteistyössä ja vaihtamaan keskenään henkilötietoja, jotta ne voisivat täyttää velvollisuutensa tai suorittaa tehtäviä jonkin toisen jäsenvaltion viranomaisten puolesta.

(5)  Teknologian nopea kehitys ja globalisaatio ovat tuoneet henkilötietojen käsittelyyn uusia haasteita. Tietoja jaetaan ja kerätään nyt valtavan paljon suuremmassa mittakaavassa. Teknologian kehityksen ansiosta sekä yksityiset yritykset että viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän laajasti. Myös yksityiset ihmiset saattavat yhä useammin henkilötietojaan julkisuuteen maailmanlaajuisesti. Teknologia on mullistanut sekä talouden että sosiaalisen elämän, ja sen vuoksi on edelleen helpotettava vapaata tiedonkulkua unionissa ja tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille samalla kun varmistetaan henkilötietojen korkeatasoinen suoja.

(6)  Tämän kehityksen vuoksi unionissa on laadittava vahvempi ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla, sillä on tärkeää rakentaa luottamusta, jonka pohjalta digitaalitalous voi kehittyä koko sisämarkkinoiden alueella. Yksilöiden olisi voitava valvoa omia tietojaan, ja oikeusvarmuutta ja luottamusta käytännön toiminnan sujuvuuteen olisi vahvistettava sekä yksilöiden että talouden toimijoiden ja viranomaisten kannalta.

(7)  Direktiivin 95/46/EY tavoitteet ja periaatteet ovat edelleen pätevät, mutta sen avulla ei ole pystytty estämään henkilötietojen suojan täytäntöönpanon hajanaisuutta eri puolilla unionia eikä myöskään oikeudellista epävarmuutta tai sitä laajalle levinnyttä näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy yksilöiden suojelun kannalta huomattavia riskejä. Yksilön oikeuksiin ja vapauksiin ja erityisesti yksityisyyden suojaa henkilötietojen käsittelyssä koskevaan oikeuteen liittyvät eroavuudet jäsenvaltioiden välillä voivat estää henkilötietojen vapaan liikkuvuuden unionin alueella. Nämä eroavuudet voivat muodostua esteeksi taloudelliselle toiminnalle unionin tasolla, vääristää kilpailua ja estää viranomaisia suorittamasta unionin oikeuden mukaisia velvollisuuksiaan. Nämä suojelun tasossa ilmenevät eroavuudet johtuvat direktiivin 95/46/EY täytäntöönpanossa ja soveltamisessa esiintyvistä eroista.

(8)  Jotta voitaisiin varmistaa yksilöiden yhdenmukainen ja korkeatasoinen suoja ja poistaa henkilötietojen liikkuvuuden esteet, yksilön oikeuksilla ja vapauksilla olisi oltava näiden tietojen käsittelyssä samantasoinen suoja kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa.

(9)  Jotta henkilötietoja voidaan suojata tehokkaasti kaikkialla unionissa, on vahvistettava ja täsmennettävä rekisteröidyn oikeuksia ja henkilötietoja käsittelevien ja niiden käsittelystä päättävien velvollisuuksia. Samalla on varmistettava samantasoiset valtuudet seurata ja varmistaa henkilötietojen suojelua koskevien sääntöjen noudattaminen ja sääntöjen rikkomiseen syyllistyneille samantasoiset seuraamukset jäsenvaltioissa.

(10)  Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta.

(11)  Jotta voitaisiin varmistaa yksilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat tietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, joka takaa oikeusvarmuuden ja läpinäkyvyyden talouden toimijoiden, kuten mikroyritysten sekä pienten ja keskisuurten yritysten kannalta, antaa yksilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet ja rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja vastuut sekä varmistaa henkilötietojen käsittelyn yhdenmukaisen valvonnan ja samantasoiset seuraamukset kaikissa jäsenvaltioissa ja eri jäsenvaltioiden valvontaviranomaisten tehokkaan yhteistyön. Tässä asetuksessa säädetään eräistä poikkeuksista, jotta voitaisiin ottaa huomioon mikroyritysten sekä pienten ja keskisuurten yritysten erityistilanne. Lisäksi unionin toimielimiä ja elimiä sekä jäsenvaltioita ja niiden valvontaviranomaisia kehotetaan ottamaan tämän asetuksen soveltamisessa huomioon mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet. Mikroyritysten sekä pienten ja keskisuurten yritysten määritelmän olisi perustuttava komission suositukseen 2003/361/EY(5).

(12)  Tämän asetuksen tarjoaman suojan olisi koskettava kaikkia luonnollisia henkilöitä heidän kansalaisuudestaan ja asuinpaikastaan riippumatta, silloin kun on kyse henkilötietojen käsittelystä. Oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen yritysten ei pitäisi vedota tähän asetukseen perustuvaan suojeluun silloin kun tietojenkäsittely koskee näiden oikeushenkilöiden tietoja, kuten oikeushenkilön nimeä, oikeudellista muotoa ja yhteystietoja. Samaa olisi sovellettava myös silloin kun oikeushenkilön nimi sisältää yhden tai useamman luonnollisen henkilön nimen.

(13)  Yksilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta, koska tällainen riippuvaisuus aiheuttaisi vakavan väärinkäytösten riskin. Yksilöiden suojelun olisi koskettava myös henkilötietojen automatisoitua käsittelyä sekä sellaisten henkilötietojen manuaalista käsittelyä, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Tämän asetuksen soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjakokonaisuuksia kansilehtineen, joita ei ole järjestetty määriteltyjen perusteiden mukaisesti.

(14)  Tämä asetus ei koske sellaisia perusoikeuksien ja -vapauksien suojeluun tai tietojen vapaaseen liikkuvuuteen liittyviä kysymyksiä, jotka eivät kuulu unionin oikeuden soveltamisalaan, eikä se kata unionin toimielinten, elinten ja laitosten suorittamaa henkilötietojen käsittelyä, johon sovelletaan asetusta. Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001(6), eikä henkilötietojen käsittelyä jäsenvaltioissa niiden toteuttaessa unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvää toimintaa olisi saatettava tämän asetuksen mukaiseksi ja sitä olisi sovellettava tämän asetuksen mukaisesti. [tark. 1]

(15)  Tätä asetusta ei pitäisi soveltaa luonnollisen henkilön suorittamaan, yksinomaan henkilökohtaisen tai perhettä tai kotitaloutta koskevaan henkilötietojen käsittelyyn, kuten kirjeenvaihtoon tai osoitteiston pitämiseen taikka yksityiseen myyntiin, johon ei liity mitään ansaitsemistarkoitusta ja joka ei ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan. Tämä vapautus ei koske sellaisia rekisterinpitäjiä tai henkilötietojen käsittelijöitä Tätä asetusta olisi kuitenkin sovellettava sellaisiin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, jotka tarjoavat keinot tällaiseen henkilökohtaiseen tai kotitaloutta koskevaan henkilötietojen käsittelyyn. [tark. 2]

(16)  Yksilöiden suojelusta toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta on annettu erillinen säädös unionin tasolla. Sen vuoksi tätä asetusta ei pitäisi soveltaa näitä tarkoituksia varten tehtävään henkilötietojen käsittelyyn. Kun viranomaiset käsittelevät tämän asetuksen soveltamisalaan kuuluvia henkilötietoja rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, olisi sen sijaan sovellettava unionin tasolla annettua erityissäädöstä (Euroopan parlamentin ja neuvoston direktiivi 2014/.../EU yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta).

(17)  Tämä asetus ei saisi vaikuttaa Euroopan parlamentin ja neuvoston direktiivin 2000/31/EY(7) soveltamiseen eikä etenkään tuon direktiivin 12–15 artiklassa säädettyihin välittäjinä toimivien palveluntarjoajien vastuuta koskeviin sääntöihin.

(18)  Tämän asetuksen säännöksiä sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperiaate. Viranomainen tai julkishallinnon elin voi luovuttaa hallussaan olevien asiakirjojen sisältämiä henkilötietoja virallisten asiakirjojen julkisuutta koskevan unionin tai jäsenvaltion lainsäädännön mukaisesti, jossa sovitetaan yhteen henkilötietojen suojaa koskeva oikeus ja virallisten asiakirjojen julkisuutta koskeva oikeus ja joka on asianmukaisessa tasapainossa asianomaisten etujen kanssa. [tark. 3]

(19)  Tätä asetusta olisi noudatettava kaikessa sellaisessa henkilötietojen käsittelyssä, jota suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toiminnan yhteydessä, riippumatta siitä, tapahtuuko itse käsittely unionin alueella vai ei. Sijoittautuminen edellyttää tosiasiallista toimintaa ja kiinteää toimipaikkaa. Sijoittautumisen oikeudellisella muodolla eli sillä, onko kyseessä sivuliike vai tytäryhtiö, jolla on oikeushenkilöys, ei ole tässä suhteessa ratkaisevaa merkitystä.

(20)  Jotta yksilöt eivät jäisi ilman heille tämän asetuksen mukaisesti kuuluvaa tietosuojaa, tätä asetusta olisi sovellettava kaikkien unionin alueella asuvien rekisteröityjen henkilötietojen käsittelyssä unionissa, jos sitä suorittava rekisterinpitäjä ei ole sijoittautunut unioniin ja jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen, mukaan luettuna maksutta tarjottavat palvelut, näille rekisteröidyille, riippumatta siitä, liittyykö niihin maksu, tai näiden rekisteröityjen käyttäytymisen seurantaan. Sen määrittämiseksi, tarjoaako kyseinen rekisterinpitäjä tavaroita ja palveluja rekisteröidyille unionissa, olisi varmistettava ilmeneekö, että rekisterinpitäjä aikoo tarjota palveluja rekisteröidyille unionissa yhdessä tai useammassa jäsenvaltiossa. [tark. 4]

(21)  Sen määrittämiseksi, voidaanko käsittelytoiminnan katsoa koskevan rekisteröityjen 'käyttäytymisen seurantaa', olisi varmistettava, onko yksilöitä seurattu internetissä sellaisten käsittelytekniikoiden avulla tietojen alkuperästä riippumatta tai onko heistä kerätty muita tietoja, mukaan lukien unionin julkisista rekistereistä ja ilmoituksista, joihin on pääsy unionin ulkopuolelta ja joihin nyt tai mahdollisesti tulevaisuudessa voidaan soveltaa sellaisia käsittelytekniikoita, jotka käsittävät 'profiilin' soveltamisen tiettyyn yksilöön erityisesti häntä yksilöä koskevien päätösten tekemistä varten tai hänen henkilökohtaisten mieltymystensä, käyttäytymisensä ja asenteidensa analysointia tai ennakoimista varten. [tark. 5]

(22)  Jos kansainvälisen julkisoikeuden nojalla on sovellettava jäsenvaltion kansallista lakia, tätä asetusta olisi sovellettava myös sellaiseen rekisterinpitäjään, joka ei ole sijoittautunut unioniin, vaan esimerkiksi jäsenvaltion diplomaatti- tai konsuliedustustoon.

(23)  Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Sen määrittämiseksi, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuuden rajoissa käyttää mainitun henkilön tunnistamiseksi tai erottamiseksi muista suoraan tai epäsuorasti. Sen varmistamiseksi, käytetäänkö henkilön tunnistamiseksi kohtuuden rajoissa olevia keinoja, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja siihen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia että tekninen kehitys. Tietosuojaperiaatteita ei siksi pitäisi soveltaa nimettömiin tietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista eli tietoihin, jotka eivät koske tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Tämä asetus ei tämän vuoksi koske tällaisten nimettömien tietojen käsittelyä, tilasto- tai tutkimustarkoitukset mukaan luettuna. [tark. 6]

(24)  Verkkopalvelujen käyttäjät voidaan yhdistää heidän käyttämiensä Tätä asetusta ei pitäisi soveltaa käsittelyyn, johon liittyy laitteiden, sovellusten, työkalujen ja protokollien internet-tunnisteisiin internet-tunnisteita, kuten IP-osoitteisiin tai evästeisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää yhdessä ainutlaatuisten tunnisteiden ja muiden palvelimille toimitettujen tietojen avulla käyttäjien profilointiin ja tunnistamiseen. Tästä seuraa, että tunnistenumeroita, sijaintitietoja, internet-tunnisteita tai muita erityistekijöitä ei sinänsä tarvitse pitää henkilötietoina kaikissa tilanteissa. IP-osoitteita, evästeitä ja RFID-tunnisteita, paitsi jos ne eivät koske tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. [tark. 7]

(25)  Suostumus olisi annettava nimenomaisesti käyttäen mitä tahansa soveltuvaa tapaa, joka mahdollistaa vapaasti esitetyn, täsmällisen ja tietoon perustuvan ilmoituksen rekisteröidyn toiveista siten, että asianomainen esittää suostumusta ilmaisevan lausuman tai toteuttaa suostumusta ilmaisevan toimen, joka on valinnan tulos ja joka osoittaa, että asianomainen tietää antavansa suostumuksensa henkilötietojensa käsittelyyn, esimerkiksi rastittamalla. Suostumusta ilmaiseva toimi voisi olla se, että rekisteröity rastittaa ruudun vieraillessaan internet-sivustolla tai esittämällä esittää minkä tahansa muun lausuman tai käyttäytymällä käyttäytyy tavalla, joka selkeästi osoittaa tässä yhteydessä, että rekisteröity hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei pitäisi voida antaa vaikenemalla, jonkin palvelun pelkällä käyttämisellä tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan. [tark. 8]

(26)  Terveyttä koskevia henkilötietoja ovat erityisesti kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa, tiedot yksilön rekisteröimisestä terveyspalvelujen saamista varten, tiedot yksilöä koskevista terveydenhuollon maksuista tai yksilön oikeudesta terveydenhuoltoon, yksilölle annettu numero, symboli tai erityistuntomerkki ainoastaan yksilön tunnistamiseksi terveydenhuollon piirissä, yksilöstä terveydenhuollon palvelujen antamisen aikana kerätyt tiedot, kehon osan tai kehosta peräisin olevan aineen testaamisesta tai tutkimisesta saadut tiedot, myös biologiset näytteet, tieto siitä, kuka on hoitanut yksilölle, sekä kaikki tiedot esimerkiksi sairauksista, vammoista, sairauden riskistä, esitiedoista tai annetuista hoidoista sekä tieto rekisteröidyn senhetkisestä fyysisestä tai lääketieteellisestä tilanteesta riippumatta siitä, mistä lähteestä tiedot on saatu (lääkäriltä tai muulta terveydenhuoltoalan ammattilaiselta, sairaalalta, lääkinnällisestä laitteesta vai diagnostisesta in vitro ‑testistä).

(27)  Se, sijaitseeko rekisterinpitäjän päätoimipaikka unionissa, olisi määritettävä objektiivisten kriteerien perusteella, joissa otetaan huomioon ne todelliset hallintotoimet, joiden yhteydessä tehdään kiinteässä toimipaikassa toteutettavan käsittelyn tarkoituksia, edellytyksiä ja keinoja koskevat tärkeimmät päätökset. Näihin kriteereihin ei saisi vaikuttaa se, toteutetaanko varsinainen henkilötietojen käsittely tuossa paikassa, sillä henkilötietojen käsittelyä tai käsittelytoimia varten käytettävien teknisten välineiden ja teknologioiden olemassaolo ja käyttö eivät sinänsä osoita tällaista päätoimipaikkaa eivätkä ne sen vuoksi ole ratkaiseva kriteeri päätoimipaikan määrittämisessä. Rekisterinpitäjän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa.

(28)  Yritysryhmän olisi katettava sekä määräysvaltaa käyttävä yritys että sen määräysvallassa olevat yritykset niin, että määräysvaltaa käyttävä yritys on se, jolla on määräysvalta toiseen yritykseen nähden esimerkiksi omistuksen, rahoitukseen osallistumisen tai yrityksen sääntöjen perusteella, tai jolla on toimivalta panna täytäntöön henkilötietojen suojaa koskevat säännöt.

(29)  On pyrittävä suojaamaan erityisesti lasten henkilötietoja, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, takeista tai omista oikeuksistaan. Sen määrittämiseksi, milloin yksilö on lapsi, tähän asetukseen olisi sisällytettävä lapsen oikeuksia koskevassa YK:n yleissopimuksessa vahvistettu määritelmä. Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen tarjottaessa tuotteita tai palveluja suoraan lapselle, lapsen vanhemman tai laillisen edustajan olisi annettava suostumus tai valtuutus, kun lapsi on alle 13-vuotias. Kun kohdeyleisönä on lapsia, olisi käytettävä ikäryhmälle soveltuvaa kieltä. Muita lainmukaisia käsittelysyitä, kuten yleistä etua koskevat syyt, olisi edelleen sovellettava esimerkiksi tietojenkäsittelyyn suoraan lapsille osoitetuissa ennalta ehkäisevissä palveluissa tai neuvontapalveluissa. [tark. 9]

(30)  Kaikki henkilötietojen käsittely on suoritettava lainmukaisesti ja asianomaisia henkilöitä kohtaan oikeudenmukaisella ja läpinäkyvällä tavalla. Varsinkin tietojenkäsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava tietojen keräämisen yhteydessä selvästi ja lainmukaisesti. Henkilötietojen olisi oltava asianmukaisia ja olennaisia ja niiden määrä olisi rajoitettava mahdollisimman vähään suhteessa niihin tarkoituksiin, joita varten niitä käsitellään; sen vuoksi olisi erityisesti varmistettava, että tietoja ei kerätä liikaa ja että niiden säilytysaika on rajoitettu mahdollisimman lyhyeksi. Henkilötietoja olisi käsiteltävä vain jos käsittelyn tarkoitusta ei voida toteuttaa muilla keinoin. Kaikki kohtuulliset toimenpiteet olisi toteutettava sen varmistamiseksi, että virheelliset henkilötiedot oikaistaan tai poistetaan. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistamista tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten, jotta voidaan varmistaa, ettei tietoja säilytetä pidempään kuin on tarpeen.

(31)  Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava asianomaisen henkilön suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään lainsäädännössä, joko tässä asetuksessa tai tässä asetuksessa tarkoitetussa muussa unionin tai jäsenvaltion lainsäädännössä. Lapsen tai oikeustoimikelvottoman henkilön tapauksessa unionin tai jäsenvaltion asiaa koskevassa lainsäädännössä olisi määriteltävä suostumuksen tai valtuutuksen antamista koskevat edellytykset. [tark. 10]

(32)  Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjällä olisi oltava vastuu sen osoittamisesta, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi annettava takeet sen varmistamiseksi, että rekisteröity on tietoinen siitä, että hän on antanut suostumuksensa ja että hän tietää, mitä se koskee. Jotta noudatetaan tietojen minimoinnin periaatetta, todistustaakka olisi ymmärrettävä niin, että rekisteröidyn tunnistamista vaaditaan vain, jos se on välttämätöntä. Siviilioikeuden ehtojen (esimerkiksi neuvoston direktiivi 93/13/ETY(8)) tavoin tietosuojatoimien olisi oltava mahdollisimman selkeitä ja läpinäkyviä. Ne eivät saisi sisältää piilotettuja tai epäedullisia lausekkeita. Suostumusta ei voida antaa kolmannen henkilön henkilötietojen käsittelyyn. [tark. 11]

(33)  Sen varmistamiseksi, että suostumus annetaan vapaasti, olisi täsmennettävä, että suostumus ei ole pätevä peruste tietojenkäsittelylle, jos yksilöllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. Tämä koskee erityisesti tapauksia, joissa rekisterinpitäjä on viranomainen, joka voi määrätä velvoitteen asiaa koskevan julkisen valtansa nojalla, eikä suostumusta voida katsoa annetun vapaaehtoisesti. Oletusvaihtoehdot, kuten valmiiksi rastitetut ruudut, joita rekisteröidyn on muutettava vastustaakseen tietojensa käsittelyä, eivät merkitse vapaata suostumusta. Suostumusta sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen palvelun tarjoamiseksi, ei pitäisi asettaa palvelun käytön ehdoksi. Kun suostumus peruutetaan, tiedoista riippuvainen palvelu voidaan lopettaa tai jättää toteuttamatta. Jos aiotun tarkoituksen päättyminen on epäselvä, rekisterinpitäjän olisi annettava rekisteröidylle säännöllisesti tietoja tietojenkäsittelystä ja pyydettävä rekisteröityä vahvistamaan suostumuksen uudelleen. [tark. 12]

(34)  Suostumuksen ei pitäisi muodostaa pätevää oikeudellista perustetta henkilötietojen käsittelylle, jos rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Näin on erityisesti siinä tapauksessa, että rekisteröity on riippuvuussuhteessa rekisterinpitäjään, esimerkiksi kun työnantaja käsittelee työntekijöiden henkilötietoja työsuhteen yhteydessä. Jos rekisterinpitäjä on viranomainen, epäsuhta liittyisi vain erityisiin tietojenkäsittelytoimiin, joiden yhteydessä viranomainen voi määrätä velvoitteen asiaa koskevien julkisten toimivaltuuksiensa nojalla eikä suostumusta voida katsoa annetun vapaaehtoisesti, kun otetaan huomioon rekisteröidyn edut. [tark. 13]

(35)  Käsittelyä olisi pidettävä lainmukaisena, kun se on tarpeen sopimuksen yhteydessä tai suunnitellun sopimuksen tekemistä varten.

(36)  Kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai kun käsittely on tarpeen yleistä etua koskevan tai julkisen vallan käyttöön liittyvän tehtävän suorittamiseksi, käsittelyllä olisi oltava oikeusperusta unionin lainsäädännössä tai sellaisessa jäsenvaltion lainsäädännössä, joka täyttää oikeuksien ja vapauksien rajoittamiselle perusoikeuskirjassa asetetut vaatimukset. Tämän olisi sisällettävä myös työehtosopimukset, jotka voitaisiin kansallisessa lainsäädännössä todeta yleisesti päteviksi. Unionin oikeudessa tai kansallisessa lainsäädännössä määritetään, olisiko yleistä etua tai julkisen vallan käyttöä koskevan tehtävän suorittamisesta vastuussa olevan rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä. [tark. 14]

(37)  Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn hengen kannalta olennaisten etujen suojelemiseksi.

(38)  Rekisterinpitäjän tai, kun kyse on tietojen luovuttamisesta, kolmannen osapuolen, jolle tiedot luovutetaan, oikeutetut edut voivat muodostaa käsittelyn oikeusperustan edellyttäen, että ne täyttävät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, ja että rekisteröidyn etuja tai perusoikeuksia ja ‑vapauksia ei syrjäytetä. Tätä on arvioitava huolellisesti etenkin jos rekisteröity on lapsi, koska lapset tarvitsevat erityistä suojelua. Salanimellä julkaistuihin tietoihin rajoittuvan käsittelyn pitäisi voida katsoa täyttävän rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, edellyttäen että rekisteröidyn etuja tai perusoikeuksia ja ‑vapauksia ei syrjäytetä. Rekisteröidyllä olisi oltava oikeus vastustaa tietojensa käsittelyä tilanteeseensa liittyvien syiden vuoksi ja maksutta. Läpinäkyvyyden varmistamiseksi rekisterinpitäjällä olisi oltava velvollisuus ilmoittaa rekisteröidylle nimenomaisesti näistä oikeutetuista eduista ja rekisteröidyn oikeudesta vastustaa tietojenkäsittelyä, ja rekisterinpitäjällä olisi myös oltava velvollisuus esittää näitä oikeutettuja etuja koskevat asiakirjat. Rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, kun henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. Koska on lainsäätäjän tehtävä vahvistaa lailla oikeusperusta, jonka nojalla viranomaiset voivat käsitellä tietoja, tätä oikeusperustaa ei pitäisi soveltaa tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä. [tark. 15]

(39)  On rekisterinpitäjän oikeutetun edun mukaista rajoittaa tietojenkäsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, tietotekniikan kriisiryhmät (Computer Emergency Response Teams, CERT), CSIRT-toimijat (tietoturvaloukkauksiin reagoiva ja niitä tutkiva yksikkö), sähköisten viestintäverkkojen ja ‑palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä varmuudella onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien tietojen ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen saatavuuden, aitouden, eheyden ja luottamuksellisuuden. Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen. Tätä periaatetta sovelletaan myös henkilötietojen käsittelyyn julkisesti saatavilla olevien verkkojen tai tietojärjestelmien väärinkäytön rajoittamiseksi, kuten sähköisten tunnisteiden merkitseminen mustalle listalle. [tark. 16]

(39 a)  Rekisterinpitäjän suorittama vahinkojen ehkäiseminen tai rajoittaminen olisi oletettava suoritetuksi rekisterinpitäjän oikeutetun edun toteuttamiseksi tai, kun kyse on tietojen luovuttamisesta, sen kolmannen osapuolen osalta, jolle tiedot luovutetaan, ja katsottava täyttävän rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, edellyttäen että rekisteröidyn etuja tai perusoikeuksia ja ‑vapauksia ei syrjäytetä. Samaa periaatetta sovelletaan myös rekisteröityyn kohdistuvien oikeusvaateiden täytäntöönpanoon, kuten velkojen perintä tai yksityishenkilöihin kohdistuvat vahingot ja oikeussuojakeinot. [tark. 17]

(39 b)  Omien ja vastaavien tuotteiden ja palvelujen suoramarkkinointia tai postitse tapahtuvaa suoramarkkinointia koskeva henkilötietojen käsittely olisi oletettava suoritetuiksi rekisterinpitäjän oikeutetun edun toteuttamiseksi tai, kun kyse on tietojen luovuttamisesta, sen kolmannen osapuolen osalta, jolle tiedot luovutetaan, ja katsottava täyttävän rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, jos annetaan selvästi havaittavissa olevaa tietoa oikeudesta vastustaa ja henkilötietojen lähteestä, edellyttäen että rekisteröidyn etuja tai perusoikeuksia ja ‑vapauksia ei syrjäytetä. Yritysten yhteystietojen käsittely olisi yleisesti katsottava suoritetuksi rekisterinpitäjän oikeutetun edun toteuttamiseksi tai, kun kyse on tietojen luovuttamisesta, sen kolmannen osapuolen osalta, jolle tiedot luovutetaan, edellyttäen että ne täyttävät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen. Tätä olisi sovellettava myös sellaisten henkilötietojen käsittelyyn, jotka rekisteröity on nimenomaisesti saattanut julkisiksi. [tark. 18]

(40)  Henkilötietojen käsittely muita tarkoituksia varten olisi sallittava vain jos käsittely on niiden tarkoitusten mukaista, joita varten tiedot on alun perin kerätty, erityisesti silloin kun käsittely on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten. Jos muu tarkoitus on ristiriidassa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin, rekisterinpitäjän olisi saatava rekisteröidyn suostumus tätä muuta tarkoitusta varten tai käsittelyn olisi perustuttava muuhun lainmukaista käsittelyä koskevaan oikeutettuun perusteeseen, erityisesti jos sellaisesta säädetään unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion laissa. Kaikissa tapauksissa olisi varmistettava, että sovelletaan tässä asetuksessa vahvistettuja periaatteita ja erityisesti periaatetta, jonka mukaan rekisteröidylle on ilmoitettava näistä muista tarkoituksista. [tark. 19]

(41)  Henkilötietoja, jotka ovat perusoikeuksien tai yksityisyyden kannalta erityisen arkaluonteisia ja haavoittuvia, on suojeltava erityisen tarkasti. Tällaisia tietoja ei pitäisi käsitellä ilman rekisteröidyn nimenomaista suostumusta. Olisi kuitenkin nimenomaisesti säädettävä tätä kieltoa koskevista poikkeuksista erityisten tarpeiden vaatiessa etenkin, jos kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen. [tark. 20]

(42)  Arkaluonteisten tietoryhmien käsittelykiellosta olisi voitava poiketa myös siinä tapauksessa, että poikkeaminen perustuu lakiin ja tapahtuu asianmukaisten takeiden vallitessa, jotta voidaan suojata henkilötietoja ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden ja erityisesti terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä tai historiantutkimusta, taikka tilastollisia tai tieteellisiä taikka arkistoja tutkimustarkoituksia varten. [tark. 21]

(43)  Myös viranomaisten suorittama henkilötietojen käsittely valtiosääntöoikeudessa ja kansainvälisessä julkisoikeudessa säädettyjen virallisesti tunnustettujen uskonnollisten yhdistysten päämäärien toteuttamiseksi toteutetaan yleisen edun perusteella.

(44)  Jos demokraattisen järjestelmän vaaleihin liittyvä toiminta tietyissä jäsenvaltioissa edellyttää, että poliittiset puolueet keräävät tietoja henkilöiden poliittisista mielipiteistä, kyseisten tietojen käsittely voidaan sallia yleisen edun vuoksi sillä edellytyksellä, että otetaan käyttöön asianmukaiset takeet.

(45)  Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsiteltävien tietojen perusteella, rekisterinpitäjää ei pitäisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä. Kun rekisteröity on esittänyt tiedonsaantipyynnön, rekisterinpitäjällä olisi oltava oikeus pyytää rekisteröidyltä lisätietoja, joiden avulla rekisterinpitäjä voi löytää tämän pyytämät henkilötiedot. Jos rekisteröidyllä on mahdollisuus toimittaa kyseiset tiedot, rekisterinpitäjien ei pitäisi voida vedota tiedon puuttumiseen evätäkseen tiedonsaantipyynnön. [tark. 22]

(46)  Läpinäkyvyysperiaatteen mukaisesti yleisölle tai rekisteröidylle tarkoitettujen tietojen olisi oltava helposti saatavilla ja ymmärrettäviä, ja ne olisi ilmaistava selkeällä ja yksinkertaisella kielellä. Tämä on erityisen tärkeää esimerkiksi verkkomainonnassa, missä rekisteröidyn on toimijoiden suuren määrän ja käytänteiden teknisen monimutkaisuuden vuoksi vaikea tietää ja ymmärtää, kerätäänkö hänen henkilötietojaan tai ketkä niitä keräävät ja mitä tarkoitusta varten. Koska lapset tarvitsevat erityistä suojelua, kaikki erityisesti lapsiin kohdistuvaa tietojenkäsittelyä koskeva tiedotus ja viestintä on ilmaistava niin selkeällä ja yksinkertaisella kielellä, että lapsi voi helposti ymmärtää ne.

(47)  Olisi säädettävä yksityiskohtaisesti siitä, miten tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa, esimerkiksi siitä, miten voi pyytää varnustaa maksutta pääsyä pääsyn tietoihin tai tietojen oikaisemista ja poistamista oikaiseminen ja positaminen sekä käyttää oikeutta vastustaa tietojenkäsittelyä. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin tietyssä kohtuullisessa määräajassa ja perustelemaan kieltäytymisensä siinä tapauksessa, että rekisteröidyn pyyntöä ei noudateta. [tark. 23]

(48)  Asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle olisi ilmoitettava erityisesti henkilötietojen käsittelystä ja sen tarkoituksista, tietojen todennäköisestä säilytysajasta kuhunkin tarkoitukseen, jos tietoja siirretään kolmansille osapuolille tai maille, mahdollisuudesta vastustaa, tiedonsaantioikeudesta, oikeudesta oikaista ja poistaa tiedot sekä valitusoikeudesta. Jos tietoja kerätään rekisteröidyltä, tälle olisi lisäksi ilmoitettava, onko hänen pakko toimittaa tiedot, sekä kieltäytymisen seurauksista. Tämä tieto olisi toimitettava – esimerkiksi annettava helposti käytettäväksi – rekisteröidylle sen jälkeen, kun on annettu yksinkertaistettua tietoa vakiomuotoisina kuvakkeina. Tämän olisi myös tarkoitettava, että henkilötietoja käsitellään siten, että rekisteröity voi tosiasiallisesti käyttää oikeuksiaan. [tark. 24]

(49)  Rekisteröidylle olisi ilmoitettava häntä koskevien henkilötietojen käsittelystä tietojen keräämisen yhteydessä tai, jos tietoja ei ole saatu suoraan rekisteröidyltä, kohtuullisen ajan kuluessa tietojen keräämisestä, tapaukseen liittyvät olosuhteet huomioon ottaen. Jos tietoja voidaan laillisesti luovuttaa toiselle vastaanottajalle, rekisteröidylle olisi ilmoitettava tästä silloin, kun tietoja luovutetaan ensimmäisen kerran.

(50)  Tätä ei kuitenkaan tarvitse vaatia silloin kun rekisteröidyllä rekisteröity tietää jo on tämä tieto tämän tiedon tai kun lainsäädännössä nimenomaisesti säädetään tietojen tallentamisesta tai luovuttamisesta tai kun tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa. Viimeksi mainittu tilanne liittyy erityisesti tapauksiin, joissa käsittely tapahtuu historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten; tällöin voidaan ottaa huomioon rekisteröityjen määrä, tietojen ikä ja mahdollisesti hyväksytyt korvaavat toimenpiteet. [tark. 25]

(51)  Jokaisella olisi oltava oikeus saada tietoa siitä, mitä tietoja hänestä on kerätty, sekä käyttää tätä oikeutta vaivattomasti voidakseen valvoa ja tarkistaa käsittelyn lainmukaisuuden. Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti tietojenkäsittelyn tarkoituksista, arvioidusta käsittelyajasta, tietojen vastaanottajista, käsiteltävien tietojen yleisestä logiikasta sekä käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. Tämä oikeus ei saisi aiheuttaa vahinkoa muiden oikeuksille ja vapauksille, esimerkiksi liikesuhteiden luottamuksellisuudelle tai henkiselle omaisuudelle, eikä etenkään kuten ohjelmistojen tekijänoikeudelle. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa. [tark. 26]

(52)  Rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa käyttää tiedonsaantioikeuttaan, erityisesti verkkopalvelujen ja internet-tunnisteiden yhteydessä. Rekisterinpitäjän ei pitäisi säilyttää henkilötietoja ainoastaan mahdollisiin pyyntöihin vastaamista varten.

(53)  Jokaisella olisi oltava oikeus saada itseään koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus "tulla unohdetuksi" tietojen poistamiseen jos tietojen säilyttäminen ei ole tämän asetuksen säännösten mukaista. Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun tietoja ei enää tarvita niiden tarkoitusten toteuttamista varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun rekisteröity on perunut tietojenkäsittelyä koskevan suostumuksensa tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista. Tämä oikeus tulee kyseeseen erityisesti silloin kun rekisteröity on antanut suostumuksensa lapsena, jolloin hän ei ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä, ja haluaa myöhemmin poistaa tällaiset tiedot erityisesti internetistä. Tietojen säilyttäminen edelleen voitaisiin kuitenkin sallia, jos se on tarpeen historiantutkimukseen taikka tilastolliseen tai tieteelliseen tutkimukseen liittyvistä syistä, kansanterveyteen liittyvän yleisen edun vuoksi, sananvapautta koskevan oikeuden käyttöä varten, tai kun laki niin vaatii tai kun on olemassa syy rajoittaa tietojen käsittelyä sen sijaan että ne poistettaisiin. Oikeutta tietojen poistamiseen ei myöskään pitäisi soveltaa, jos henkilötietojen säilyttäminen on välttämätöntä sopimuksen täytäntöönpanemiseksi rekisteröidyn kanssa tai jos oikeudellinen velvoite edellyttää tietojen säilyttämistä. [tark. 27]

(54)  Jotta voitaisiin lujittaa "oikeutta tulla unohdetuksi" oikeutta tietojen poistamiseen verkkoympäristössä, olisi laajennettava oikeutta tietojen poistamiseen niin, että tiedot henkilötiedot ilman laillista perustetta julkistanut rekisterinpitäjä velvoitettaisiin ilmoittamaan tietoja käsitteleville kolmansille osapuolille rekisteröidyn pyynnöstä poistaa kyseisiin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot. Tämän ilmoituksen varmistamiseksi rekisterinpitäjän olisi toteutettava kaikki kohtuulliset, muun muassa tekniset toimenpiteet, niiden tietojen suhteen, joiden julkistamisesta rekisterinpitäjä on vastuussa. Kun henkilötiedot julkistaa kolmas osapuoli, rekisterinpitäjän olisi katsottava olevan vastuussa julkistamisesta, jos rekisterinpitäjä on valtuuttanut kolmannen osapuolen julkistamaan tiedot. toteuttamaan kaikki tarvittavat toimenpiteet tietojen poistamiseksi, myös kolmansien osapuolten toimesta, sanotun kuitenkaan rajoittamatta rekisteröidyn oikeutta vaatia korvausta. [tark. 28]

(54 a)  Rekisteröidyn kiistämät tiedot, joiden paikkansapitävyyttä ei pystytä toteamaan, olisi suojattava, kunnes asia on selvitetty. [tark. 29]

(55)  Jotta voitaisiin edelleen lujittaa rekisteröityjen oikeutta valvoa henkilötietojaan ja heidän tiedonsaantioikeuttaan silloin kun henkilötietoja käsitellään sähköisin keinoin, jäsennellyssä ja yleisesti käytetyssä muodossa, rekisteröidyillä olisi oltava oikeus saada jäljennös heitä koskevista tiedoista myös yleisesti käytetyssä sähköisessä muodossa. Rekisteröityjen pitäisi myös voida siirtää antamansa tiedot yhdestä automaattisesta sovelluksesta, esimerkiksi sosiaalisesta verkostosta, toiseen. Rekisterinpitäjiä olisi kannustettava kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirtämisen. Tätä olisi sovellettava silloin kun rekisteröity on antanut tiedot automaattiseen käsittelyjärjestelmään oman suostumuksensa tai sopimuksen täytäntöönpanon perusteella. Tietoyhteiskunnan palvelujen tarjoajien ei pitäisi asettaa näiden tietojen siirtämistä palvelujensa toimittamisen edellytykseksi. [tark. 30]

(56)  Vaikka henkilötietoja voitaisiin käsitellä lainmukaisesti rekisteröidyn elintärkeiden etujen suojaamiseksi tai yleisen edun, julkisen vallan käytön tai rekisterinpitäjän oikeutetun edun vuoksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa tietojensa käsittelyä maksutta ja tavalla, johon tämä voi vedota helposti ja tehokkaasti. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän oikeutetut edut voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja ‑vapaudet. [tark. 31]

(57)  Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä olisi oltava on oikeus vastustaa henkilötietojensa käsittelyä, tällaista markkinointia varten maksutta rekisterinpitäjän olisi tarjottava kyseistä mahdollisuutta nimenomaisesti ja ymmärrettävällä tavalla, johon tämä voi vedota helposti ja tehokkaasti ja ymmärrettävässä muodossa selkeällä ja yksinkertaisella kielellä, ja se olisi selkeästi erotettava muista tiedoista. [tark. 32]

(58)  Jokaisella luonnollisella henkilöllä olisi oltava oikeus olla joutumatta tietojen automaattisen vastustaa profilointia, sanotun kuitenkaan rajoittamatta käsittelyn avulla tapahtuvaan profilointiin perstuvien toimenpiteiden kohteeksi lainmukaisuutta. Profilointi, jolla on rekisteröityä koskevia oikeusvaikutuksia tai joka vaikuttaa vastaavan merkittävästi rekisteröidyn etuihin, oikeuksiin tai vapauksiin, Tällaiset toimenpiteet olisi kuitenkin sallittava ainoastaan, jos ne se on nimenomaisesti hyväksytty laissa tai toteutettu sopimuksen tekemisen tai täytäntöönpanon yhteydessä tai kun rekisteröity on antanut niihin suostumuksensa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia takeita, joihin kuuluisivat tällaisesta käsittelystä ilmoittaminen rekisteröidylle, oikeus tietojen käsittelyyn ihmisen toimesta tekemään arvioon ja se, että tällaista toimenpidettä ei saisi kohdistaa lapseen. Tällaisten toimenpiteiden seurauksena ei saisi koskaan olla rekisteröityjen syrjintä rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, seksuaalisen suuntautumisen tai sukupuoli-identiteetin perusteella. [tark. 33]

(58 a)  Salanimellä julkaistuihin tietoihin rajoittuvan profiloinnin osalta olisi katsottava, ettei se vaikuta merkittävästi rekisteröidyn etuihin, oikeuksiin tai vapauksiin. Jos profilointi, joka perustuu joko yhteen salanimellä julkaistujen tietojen lähteeseen tai eri lähteistä peräisin olevien salanimellä julkaistujen tietojen kokoelmaan, mahdollistaa sen, että rekisterinpitäjä voi yhdistää salanimellä julkaistut tiedot tiettyyn rekisteröityyn, käsiteltyjä tietoja ei enää pitäisi pitää salanimellä julkaistuina. [tark. 34]

(59)  Rajoituksista, jotka koskevat erityisiä periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, tiedonsaantioikeutta, oikeutta oikaista ja poistaa tietoja, oikeutta siirtää tiedot järjestelmästä toiseen tiedonsaantioikeutta, oikeutta vastustaa tietojenkäsittelyä, profilointiin perustuvia toimenpiteitä tai profilointia sekä henkilötietoja koskevasta tietoturvaloukkauksesta ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän velvollisuuksia, voidaan säätää unionin tai jäsenvaltion lainsäädännössä siltä osin kuin ne ovat välttämättömiä ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä yleisen turvallisuuden takaamiseksi, esimerkiksi ihmishenkien suojelemiseksi erityisesti ihmisen aiheuttaman tai luonnonkatastrofin yhteydessä taikka rikosten tai, säännellyn ammattitoiminnan yhteydessä, ammattietiikan rikkomusten torjumista, tutkimista ja syytteeseenpanoa varten tai muiden unionin tai jäsenvaltion erityistä ja tarkasti määriteltyä yleistä etua koskevien syiden vuoksi, esimerkiksi unionin tai jäsenvaltion tärkeiden taloudellisten tai rahoitusta koskevien etujen vuoksi tai säänneltyjen ammattien ammattietiikkaa koskevien loukkausten vuoksi tai rekisteröidyn suojelemiseksi tai muille kuuluvien oikeuksien ja vapauksien suojelemiseksi. Näiden rajoitusten olisi oltava perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisia. [tark. 35]

(60)  Olisi vahvistettava rekisterinpitäjän kattava vastuu suorittamastaan tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä, erityisesti asiakirjojen, tietoturvan, vaikutustenarvioinnin, tietosuojavastaavan sekä tietosuojaviranomaisten toteuttaman valvonnan osalta. Rekisterinpitäjän olisi erityisesti varmistettava ja kyettävä osoittamaan, että kaikki käsittelytoimet ovat tämän asetuksen mukaisia. Riippumattomien sisäisten tai ulkoisten tarkastajien olisi tarkistettava tämä. [tark. 36]

(61)  Rekisteröidyn oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet sekä käsittelyn suunnittelu- että toteuttamisvaiheessa, asetuksessa säädettyjen vaatimusten noudattamiseksi. Varmistaakseen ja osoittaakseen, että asetusta on noudatettu, rekisterinpitäjän olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava asianmukaiset toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Sisäänrakennetun tietosuojan periaate tarkoittaa sitä, että tietosuoja kattaa tekniikan koko elinkaaren alustavasta suunnitteluvaiheesta aina lopulliseen hyödyntämis-, käyttö- ja käytöstäpoistovaiheeseen. Tähän pitäisi sisältyä myös vastuu rekisterinpitäjän tai henkilötietojen käsittelijän käyttämistä tuotteista ja palveluista. Oletusarvoisen tietosuojan periaate edellyttää, että palveluja ja tuotteita koskeva yksityisyys vastaa oletusarvoisesti tietosuojan yleisiä periaatteita, kuten tietojen minimoinnin ja käsittelytarkoituksen rajoittamisen periaatteita. [tark. 37]

(62)  Rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuu esimerkiksi valvontaviranomaisten suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttää, että tässä asetuksessa säädetyt vastuualueet jaetaan selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset, edellytykset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta. Yhteisten rekisterinpitäjien järjestelyistä olisi käytävä ilmi niiden todelliset tehtävät ja suhteet. Tämän asetuksen mukaisesti henkilötietojen käsittelyyn olisi sisällyttävä suostumus, jonka myötä rekisterinpitäjä voi siirtää tietoja yhteiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle, jotta ne käsittelevät tiedot tämän lukuun. [tark. 38]

(63)  Jos unionin alueella asuvien rekisteröityjen henkilötietoja käsittelee unionissa rekisterinpitäjä, joka ei ole sijoittautunut unioniin, ja käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille tai heidän käyttäytymisensä seurantaan, rekisterinpitäjän olisi nimitettävä edustaja, paitsi jos rekisterinpitäjä on sijoittautunut kolmanteen maahan, joka tarjoaa riittävän tietosuojan tason, tai jos käsittely koskee alle 5 000:ta rekisteröityä 12 kuukauden jaksolla eikä käsittely koske erityisiä tietoryhmiä taikka jos rekisterinpitäjä on pieni tai keskisuuri yritys tai viranomainen tai julkishallinnon elin tai jos rekisterinpitäjä tarjoaa tavaroita ja palveluja näille rekisteröidyille vain satunnaisesti. Edustajan olisi toimittava rekisterinpitäjän puolesta, ja edustajaan voivat ottaa yhteyttä kaikki valvontaviranomaiset. [tark. 39]

(64)  Sen määrittämiseksi, tarjoaako rekisterinpitäjä tavaroita ja palveluja rekisteröidyille unionissa asuville rekisteröidyille vain satunnaisesti, olisi varmistettava, ilmeneekö rekisterinpitäjän yleisestä toiminnasta, että tavaroiden ja palvelujen tarjoaminen näille rekisteröidyille on sen pääasiallisten toimintojen aputoiminto. [tark. 40]

(65)  Rekisterinpitäjän tai henkilötietojen käsittelijän olisi dokumentoitava kaikki käsittelytoimet säilytettävä tarvittavat dokumentit asetuksessa vahvistettujen vaatimusten täyttämiseksi voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia noudattavansa asetusta. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat dokumentit, jotta tietojenkäsittelytoimia asetuksen noudattamista voidaan seurata arvioida niiden pohjalta. Dokumentoinnin täydentämisen ohella olisi kuitenkin painotettava yhtä lailla hyvien käytänteiden ja määräysten noudattamisen merkitystä. [tark. 41]

(66)  Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi. Näiden toimenpiteiden avulla olisi voitava varmistaa asianmukainen turvallisuustaso ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Vahvistaessaan Vahvistettaessa teknisiä standardeja ja organisatorisia toimenpiteitä tietojenkäsittelyn turvallisuuden varmistamiseksi komission olisi edistettävä teknologianeutraaliutta, yhteentoimivuutta ja innovointia sekä tehtävä kannustettava tarvittaessa yhteistyötä yhteistyöhön kolmansien maiden kanssa. [tark. 42]

(67)  Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua kyseessä olevalle henkilölle huomattavia taloudellisia menetyksiä ja sosiaalisia haittoja, kuten väärän henkilöllisyyden käyttöä. Sen vuoksi rekisterinpitäjän olisi ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut ilmi, ja mahdollisuuksien mukaan 24 eli enintään 72 tunnin kuluessa. Jos ilmoitusta ei voida tehdä 24 tunnin kuluessa, Ilmoitukseen olisi tarvittaessa liitettävä selvitys viivytyksen syistä. Henkilöille, joiden henkilötietoihin tietoturvaloukkaus voi vaikuttaa haitallisesti, olisi ilmoitettava asiasta ilman aiheetonta viivytystä, jotta he voivat toteuttaa tarvittavat varotoimet. Tietoturvaloukkauksen olisi katsottava vaikuttavan haitallisesti rekisteröidyn henkilötietoihin tai yksityisyyteen, jos se voi johtaa esimerkiksi henkilötietovarkauteen tai -petokseen tai jos siitä voi aiheutua fyysistä haittaa tai huomattavan vakavaa nöyryytystä tai jos se voi vahingoittaa henkilön mainetta. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen voi lieventää sen mahdollisia haittavaikutuksia. Tietoturvaloukkauksesta olisi ilmoitettava rekisteröidylle niin pian kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä valvontaviranomaisen kanssa, noudattaen valvontaviranomaisen tai esimerkiksi lainvalvontaviranomaisten antamia ohjeita. Esimerkiksi, jotta rekisteröidyillä olisi mahdollisuus lieventää välittömien haittojen riskiä, tietoturvaloukkauksesta olisi ilmoitettava heille viipymättä, kun taas tarve toteuttaa asianmukaiset toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien tietoturvaloukkausten estämiseksi voivat olla perusteena ilmoituksen lykkäämiselle. [tark. 43]

(68)  Sen määrittämiseksi, onko henkilötietojen tietoturvaloukkauksesta ilmoitettu valvontaviranomaiselle ja rekisteröidylle ilman aiheetonta viivytystä, olisi tarkistettava, onko rekisterinpitäjä on toteuttanut ja soveltanut asianmukaisia teknisiä ja organisatorisia suojatoimenpiteitä selvittääkseen välittömästi, onko tapahtunut henkilötietojen tietoturvaloukkaus, ja ilmoittaakseen asiasta viipymättä valvontaviranomaiselle ja rekisteröidylle, ennen kuin siitä aiheutuu vahinkoa taloudellisille ja henkilökohtaisille eduille, ottaen huomioon erityisesti tietoturvaloukkauksen luonne ja vakavuus sekä siitä rekisteröidylle aiheutuvat seuraukset ja haittavaikutukset.

(69)  Laadittaessa yksityiskohtaisia sääntöjä henkilötietojen tietoturvaloukkausten ilmoittamisen muodosta ja ilmoittamisessa sovellettavista menettelyistä olisi otettava asianmukaisesti huomioon loukkaukseen liittyvät seikat, kuten se, oliko henkilötiedot suojattu asianmukaisin teknisin suojauskeinoin, mikä vähentää olennaisesti henkilötietopetoksen tai muiden väärinkäytösten todennäköisyyttä. Tällaisissa säännöissä ja menettelyissä olisi myös otettava huomioon lainvalvontaviranomaisten oikeutetut edut tapauksissa, joissa varhainen ilmoittaminen voisi tarpeettomasti haitata tietoturvaloukkauksen tutkimista.

(70)  Direktiivissä 95/46/EY säädetään yleinen velvollisuus ilmoittaa henkilötietojen käsittelystä valvontaviranomaisille. Tämä velvollisuus aiheuttaa hallinnollista ja taloudellista rasitusta, mutta se ei aina ole edistänyt henkilötietojen suojaa. Siksi tällaisesta yleisestä ilmoitusvelvollisuudesta olisi luovuttava ja korvattava se tehokkailla menettelyillä ja mekanismilla, jotka keskittyvät sen sijaan niihin käsittelytoimiin, joihin niiden luonteen, laajuuden tai tarkoitusten vuoksi todennäköisesti liittyy rekisteröidyn oikeuksien ja vapauksien kannalta erityisiä riskejä. Tällaisissa tapauksissa rekisterinpitäjän tai henkilötietojen käsittelijän olisi tehtävä ennen tietojenkäsittelyä tietosuojaa koskeva vaikutustenarviointi, jossa olisi tarkasteltava erityisesti suunniteltuja toimenpiteitä sekä niitä takeita ja mekanismeja, joiden avulla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu.

(71)  Tätä olisi sovellettava erityisesti vasta perustettuihin suuren mittakaavan rekisteröintijärjestelmiin, joissa on tarkoitus käsitellä huomattavia määriä henkilötietoja alueellisella, kansallisella tai ylikansallisella tasolla, mikä voi vaikuttaa suureen määrään rekisteröityjä.

(71 a)  Vaikutustenarvioinnit ovat keskeinen osa kestäviä tietosuojajärjestelmiä, koska niillä varmistetaan, että yritykset ovat alusta lähtien tietoisia kaikista mahdollisista seurauksista, joita niiden suorittamat tietojenkäsittelytoimet voivat aiheuttaa. Jos vaikutustenarvioinnit toteutetaan perusteellisesti, voidaan merkittävästi vähentää tietoturvaloukkauksien tai yksityisyyttä loukkaavien toimien todennäköisyyttä. Tietosuojaa koskevissa vaikutustenarvioinneissa olisi sen vuoksi tarkasteltava henkilötietojen hallinnan koko elinkaarta keräämisestä käsittelyyn ja poistamiseen asti ja kuvattava yksityiskohtaisesti suunnitellut käsittelytoimet, rekisteröityjen oikeuksiin ja vapauksiin vaikuttavat riskit, toimenpiteet, joiden avulla riskeihin on tarkoitus puuttua, takeet, suojatoimenpiteet ja mekanismit, joilla varmistetaan asetuksen noudattaminen. [tark. 44]

(71 b)  Rekisterinpitäjien pitäisi panostaa henkilötietojen tietosuojaan tietojen elinkaaren kaikissa vaiheissa tietojen keräämisestä käsittelyyn ja poistamiseen asti investoimalla alusta pitäen kestävään tiedonhallintakehykseen ja täydentämällä sitä kattavalla mekanismilla, jolla valvotaan säännösten noudattamista. [tark. 45]

(72)  Joissain olosuhteissa voisi olla järkevää ja taloudellista laatia tietosuojaa koskeva vaikutustenarviointi, jossa tarkasteltaisiin asioita laajemmin kuin yhden projektin kannalta, esimerkiksi kun viranomaiset tai julkishallinnon elimet aikovat luoda yhteisen sovelluksen tai käsittelyalustan tai kun useat rekisterinpitäjät aikovat ottaa käyttöön yhteisen sovelluksen tai käsittely-ympäristön kokonaista teollisuudenalaa tai segmenttiä tai jotakin laajalti käytettävää horisontaalista toimintoa varten.

(73)  Viranomaisten tai julkishallinnon elinten olisi tehtävä tietosuojaa koskeva vaikutustenarviointi, ellei sellaista ole jo tehty, kun hyväksytään kansallista lainsäädäntöä, johon kyseisen viranomaisen tai julkishallinnon elimen tehtävien suorittaminen perustuu ja joka säätelee siihen liittyviä käsittelytoimia tai käsittelytoimien sarjoja. [tark. 46]

(74)  Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelytoimiin tai tietyn uuden teknologian käyttöön liittyy runsaasti erityisiä rekisteröidyn oikeuksiin ja vapauksiin vaikuttavia riskejä, kuten rekisteröidyn jääminen ilman tiettyä oikeutta, ennen käsittelyn aloittamista olisi kuultava tietosuojavastaavaa tai valvontaviranomaista tällaisesta riskialttiista käsittelystä, joka saattaa olla vastoin asetuksen säännöksiä, jotta se voi esittää ehdotuksia tilanteen korjaamiseksi. Tällainen Valvontaviranomaisen kuuleminen olisi suoritettava myös joko kansallisen parlamentin toimenpiteen tai tällaiseen lainsäädäntötoimenpiteeseen perustuvan toimenpiteen valmistelun aikana, kun näissä toimenpiteissä määritetään käsittelyn luonne ja vahvistetaan asianmukaiset takeet. [tark. 47]

(74 a)  Vaikutustenarvioinneista voi olla apua vain silloin, jos rekisterinpitäjät varmistavat, että ne noudattavat arvioinneissa alun perin vahvistettuja lupauksia. Rekisterinpitäjien olisi sen vuoksi arvioitava ajoittain tietosuojaa koskevien säännösten noudattamista, millä ne osoittavat, että käytössä olevat tietojenkäsittelymekanismit ovat tietoturvaa koskevassa vaikutustenarvioinnissa esitettyjenvakuutusten mukaisia. Lisäksi siinä olisi osoitettava rekisterinpitäjän kyky toimia rekisteröityjen itsenäisten valintojen mukaisesti. Jos noudattamista arvioitaessa havaitaan epäjohdonmukaisuuksia, siinä olisi myös painotettava näitä ja esitettävä suosituksia siitä, miten säännösten täysimääräinen noudattaminen voidaan saavuttaa. [tark. 48]

(75)  Jos tietojenkäsittely suoritetaan julkisella sektorilla tai yksityisen sektorin suuressa yrityksessä jos se yksityisellä sektorilla koskee yli 5 000:ta rekisteröityä 12 kuukauden jaksolla, tai sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy arkaluonteisten tietojen käsittelytoimia tai säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia, rekisterinpitäjällä tai henkilötietojen käsittelijällä olisi oltava apunaan henkilö, joka valvoo tämän asetuksen noudattamista tällaisen käsittelyn yhteydessä. Kun määritetään käsiteltävien rekisteröityjen tietojen määrää, huomioon ei pitäisi ottaa niitä arkistoituja tietoja, jotka on rajoitettu niin, että rekisterinpitäjä ei voi niitä saada normaalisti tai toteuttaa käsittelytoimia, ja joita ei voi enää muuttaa. Tällaisen tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti ja nautittava erityistä suojaa irtisanomista vastaan, olipa hän palvelussuhteessa rekisterinpitäjään tai ei, ja riippumatta siitä, suoritetaanko tehtävää kokopäiväisesti. Lopullisen vastuun olisi oltava organisaation johdolla. Tietosuojasta vastaavaa olisi konsultoitava etukäteen erityisesti henkilötietojen automaattisen käsittelyjärjestelmien suunnittelusta, hankinnasta, kehittämisestä ja käyttöönotosta sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden takaamiseksi. [tark. 49]

(75 a)  Tietosuojavastaavalla on oltava vähintään seuraava pätevyys: tietosuojalainsäädännön sisällön ja soveltamisen perusteellinen tuntemus, tekniset ja organisatoriset toimenpiteet ja menettelyt mukaan luettuna; sisäänrakennettua ja oletusarvoista yksityisyyden suojaa sekä tietoturvaa koskevien teknisten vaatimusten hallinta; rekisterinpitäjän tai henkilötietojen käsittelijän kokoa ja käsiteltävän tiedon arkaluonteisuutta vastaava alakohtainen tietämys; kyky toteuttaa tarkastuksia ja kuulemisia, laatia asiakirjoja ja analysoida lokitiedostoja sekä kyky työskennellä työntekijöiden edustajien kanssa. Rekisterinpitäjän olisi mahdollistettava tietosuojavastaavan osallistuminen täydennyskoulutukseen työtehtävien edellyttämän erityisosaamisen ylläpitämiseksi. Nimitys tietosuojavastaavaksi ei välttämättä edellytä kyseiseltä työntekijältä kokopäivätyötä. [tark. 50]

(76)  Yhdistyksiä tai muita elimiä, jotka edustavat rekisterinpitäjien ryhmiä, olisi kannustettava laatimaan työntekijöiden edustajien kuulemisen jälkeen käytännesääntöjä tässä asetuksessa asetetuissa rajoissa, jotta voitaisiin helpottaa tämän asetuksen soveltamista ottaen huomioon tietyillä aloilla suoritettavan käsittelyn erityispiirteet. Käytännesääntöjen pitäisi helpottaa tämän asetuksen noudattamista kyseisillä aloilla. [tark. 51]

(77)  Läpinäkyvyyden ja tämän asetuksen noudattamisen tehostamiseksi olisi edistettävä sertifiointimekanismien sekä tietosuojasinettien ja -merkkien vakiomallisten tietosuojamerkkien käyttöönottoa, jotta rekisteröidyt voivat nopeasti, luotettavasti ja todennettavasti arvioida asianomaisten tuotteiden ja palvelujen tietosuojan tason. Unionissa olisi luotava eurooppalainen tietosuojasinetti, jonka tarkoituksena olisi lisätä rekisteröityjen luottamusta, parantaa oikeusvarmuutta rekisterinpitäjien kannalta ja samaan aikaan viedä ulkomaille eurooppalaisia tietosuojanormeja helpottamalla muiden kuin eurooppalaisten yritysten pääsyä Euroopan unionin markkinoille sertifioinnin kautta. [tark. 52]

(78)  Henkilötietojen kansainväliset siirrot ovat tarpeen kansainvälisen kaupan ja yhteistyön kehittämiseksi. Tällaisten siirtojen lisääntyminen on synnyttänyt uusia henkilötietojen suojaan liittyviä haasteita ja huolenaiheita. Kun henkilötietoja siirretään unionista kolmansiin maihin tai kansainvälisille järjestöille, ei kuitenkaan pitäisi vaarantaa yksilöiden henkilötietojen suojan tasoa, joka unionissa perustuu tähän asetukseen. Siirtoja kolmansiin maihin voidaan joka tapauksessa toteuttaa ainoastaan tätä asetusta täysimääräisesti noudattaen.

(79)  Tämä asetus ei vaikuta unionin ja kolmansien maiden välillä tehtyihin kansainvälisiin sopimuksiin, jotka koskevat henkilötietojen siirtoa, rekisteröidyille annettavat asianmukaiset takeet mukaan lukien, sekä varmistavat kansalaisille riittävän tasoisen perusoikeuksien suojan. [tark. 53]

(80)  Komissio voi päättää koko unionin osalta, että tietyt kolmannet maat tai tietty alue tai tietojenkäsittelyn sektori jossakin kolmannessa maassa tai tietyt kansainväliset järjestöt tarjoavat riittävän tasoisen tietosuojan, jotta voidaan varmistaa oikeusvarmuus ja yhdenmukaisuus kaikkialla unionissa riittävän tietosuojan tarjoavan kolmansien maiden tai kansainvälisten järjestöjen osalta. Tällöin henkilötietoja voidaan siirtää kyseisiin maihin ilman erityistä lupaa. Komissio voi myös päättää kumota tekemänsä päätöksen ilmoitettuaan asiasta ja välitettyään kattavat perustelut asianomaiselle kolmannelle maalle. [tark. 54]

(81)  Unionin perusarvojen ja erityisesti ihmisoikeuksien suojan mukaisesti komission olisi kolmansia maita arvioidessaan otettava huomioon, miten oikeusvaltioperiaate, oikeussuoja sekä kansainväliset ihmisoikeussäännöt ja ‑normit toteutuvat kyseisessä kolmannessa maassa.

(82)  Komissio voi myös todeta, että jokin kolmas maa tai jokin alue tai tietojenkäsittelyn sektori kolmannessa maassa tai jokin kansainvälinen järjestö ei tarjoa riittävän tasoista tietosuojaa. Lainsäädäntö, joka mahdollistaa unionin ulkopuolelta pääsyn unionissa käsiteltyihin henkilötietoihin ilman unionin tai jäsenvaltion lainsäädännön mukaista suostumusta, olisi katsottava riittämättömän tason osoitukseksi. Tällöin henkilötietojen siirtäminen kyseiseen maahan olisi kiellettävä. Tällaisessa tapauksessa olisi säädettävä komission ja kyseisten kolmansien maiden tai kansainvälisten järjestöjen välisistä kuulemismenettelyistä. [tark. 55]

(83)  Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan antaa asianmukaiset takeet kolmannen maan puutteellisen tietosuojan kompensoimiseksi. Nämä asianmukaiset takeet voivat tarkoittaa, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita, tai muita soveltuvia ja oikeasuhteisia toimenpiteitä, jotka ovat perusteltuja tiedonsiirtoon tai tiedonsiirtojen sarjaan liittyvien seikkojen perusteella, edellyttäen että valvontaviranomainen hyväksyy ne. Näissä asianmukaisissa takeissa olisi kunnioitettava rekisteröidyn oikeuksia vastaavan riittävällä tasolla kuin EU:ssa suoritettavassa tietojenkäsittelyssä, erityisesti käsittelytarkoituksen rajoittamisen, tiedonsaantioikeuden sekä oikeuden tietojen oikaisemiseen tai poistamiseen tai korvauksen saamiseen osalta. Takeilla olisi turvattava erityisesti henkilötietojen käsittelyä koskevien periaatteiden noudattaminen ja rekisteröidyn oikeudet, mahdollistettava tehokkaat muutoksenhakumekanismit, varmistettava sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden noudattaminen sekä taattava tietosuojavastaavan olemassaolo. [tark. 56]

(84)  Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin tai lisäämästä muita lausekkeita tai lisätakeita, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai valvontaviranomaisen hyväksymien vakiosopimuslausekkeiden kanssa tai vaikuta rekisteröidyn perusoikeuksiin tai ‑vapauksiin. Komission hyväksymät tietosuojaa koskevat vakiolausekkeet voisivat kattaa erilaisia tilanteita, kuten unioniin sijoittautuneen rekisterinpitäjän tiedonsiirrot unionin ulkopuolelle sijoittautuneelle rekisterinpitäjälle sekä unioniin sijoittautuneen rekisterinpitäjän tiedonsiirrot unionin ulkopuolelle sijoittautuneelle henkilötietojen käsittelijälle ja myös alihankkijana toimivalle käsittelijälle. Rekisterinpitäjiä ja henkilötietojen käsittelijöitä olisi kannustettava parantamaan suojatasoa entisestään lisäämällä sopimuksiin sitoumuksia, joilla täydennetään vakiosuojalausekkeita. [tark. 57]

(85)  Yritysryhmän olisi voitava soveltaa sitä koskevia hyväksyttyjä sitovia sääntöjä kansainvälisiin tiedonsiirtoihinsa unionista samaan yritysryhmään kuuluville organisaatioille, kunhan näissä sitovissa säännöissä kaikki on olennaiset periaatteet ja täytäntöönpanokelpoiset oikeudet, joiden avulla voidaan varmistaa asianmukaiset takeet tällaisia henkilötietojen siirtoja tai siirtojen sarjoja varten. [tark. 58]

(86)  Olisi säädettävä mahdollisuudesta tehdä tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut suostumuksensa, kun siirto on tarpeen sopimuksen tai oikeudellisen vaateen nojalla, kun unionin tai jäsenvaltion lainsäädäntöön perustuvat, yleistä etua koskevat tärkeät syyt niin vaativat tai kun siirto suoritetaan lailla perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa sellaisen henkilön käyttöön, jolla on siihen oikeutettu etu. Viimeksi mainitussa tapauksessa siirto ei saisi käsittää tietoja kokonaisuudessaan tai rekisterin sisältämää kokonaista tietoryhmää, ja jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia ottaen täysimääräisesti huomioon rekisteröidyn edut ja perusoikeudet [tark. 59].

(87)  Näitä poikkeuksia olisi sovellettava erityisesti tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden vuoksi, esimerkiksi kun on kyse kansainvälisistä tiedonsiirroista kilpailuviranomaisten tai vero- tai tullihallintojen tai rahoitusalan valvontaviranomaisten tai sosiaaliturva-alan tai kansanterveyden alan toimivaltaisten viranomaisten välillä taikka tiedonsiirroista rikosten torjumisesta, tutkimisesta, selvittämisestä ja syytteeseenpanosta vastaaville toimivaltaisille viranomaisille, muun muassa rahanpesun ja/tai terrorismin rahoituksen torjuntaa varten. Henkilötietojen siirtoa olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen henkilön hengen kannalta olennaisten etujen suojelemiseksi, jos rekisteröity on estynyt antamasta suostumustaan. Yleistä etua koskevien tärkeiden syiden vuoksi tehtävää tiedonsiirtoa pitäisi käyttää vain erityistilanteissa. Tiedonsiirtoon liittyvät olosuhteet olisi arvioitava kaikissa tapauksissa huolellisesti. [tark. 60]

(88)  Tiedonsiirrot, joita ei voida pitää toistuvina tai laajamittaisina, voitaisiin sallia rekisterinpitäjän tai henkilötietojen käsittelijän oikeutettujen etujen toteuttamiseksi, jos nämä ovat arvioineet kaikki tällaisiin siirtoihin liittyvät olosuhteet. Historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten olisi otettava huomioon tietämyksen lisäämistä koskevat yhteiskunnan oikeutetut odotukset. [tark. 61]

(89)  Aina kun komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi käytettävä ratkaisuja, jotka antavat rekisteröidyille oikeudellisesti sitovat takeet siitä, että he voivat nauttia samoja perusoikeuksia ja takeita, joita heidän tietojensa käsittelyyn sovelletaan unionissa, myös tietojen siirtämisen jälkeen, siinä määrin kuin tietojenkäsittely ei ole laajamittaista, toistuvaa ja jäsenneltyä. Näihin takeisiin olisi sisällyttävä rahallinen korvaus tapauksissa, joissa on kyse tietojen menettämisestä taikka luvattomasta tietojen saannista tai käsittelystä, sekä kansallisesta lainsäädännöstä riippumaton velvoite toimittaa kaikki tiedot kaikista kolmannen maan viranomaisten mahdollisuuksista saada tietoja. [tark. 62]

(90)  Jotkut kolmannet maat säätävät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä jäsenvaltioiden lainkäyttövallan alaisuuteen kuuluvien luonnollisten ja oikeushenkilöiden tietojenkäsittelytoimia. Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla vastoin kansainvälistä lakia ja estää tähän asetukseen perustuvan yksilöiden suojan toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion laissa tunnustetun yleistä etua koskevan tärkeän syyn vuoksi. Komission olisi täsmennettävä delegoidulla säädöksellä edellytykset, joiden täyttyessä kyseessä on yleistä etua koskeva tärkeä syy. Jos rekisterinpitäjät tai henkilötietojen käsittelijät kohtaavat ristiriitaisia noudattamisvaatimuksia toisaalta unionin ja toisaalta kyseessä olevan kolmannen maan lainsäädännön välillä, komission olisi varmistettava, että unionin lainsäädäntöä noudatetaan aina ensisijaisesti. Komission olisi tarjottava opastusta ja tukea rekisterinpitäjälle ja henkilötietojen käsittelijälle, ja sen olisi pyrittävä ratkaisemaan oikeudenkäyttöalueisiin liittyvä ristiriita kyseessä olevan kolmannen maan kanssa. [tark. 63]

(91)  Henkilötietojen siirtäminen valtioiden rajojen yli voi vaikeuttaa yksilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta. Toisaalta valvontaviranomaiset eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan valtion rajojen ulkopuolella. Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat vaikeuttaa myös riittämättömät ennalta ehkäisevät tai korjaavat toimivaltuudet, oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten resurssipula. Sen vuoksi on edistettävä tietosuojavalvontaviranomaisten läheisempää keskinäistä yhteistyötä, jotta ne voivat vaihtaa tietoja ja toteuttaa tutkimuksia kansainvälisten kumppaniensa kanssa.

(92)  Täysin riippumattomien valvontaviranomaisten perustaminen jäsenvaltioihin on keskeinen osa yksilöiden suojelua henkilötietojen käsittelyssä. Jäsenvaltiot voivat perustaa useampia kuin yhden valvontaviranomaisen oman perustuslakinsa, organisaationsa ja hallintorakenteensa mukaisesti. Viranomaisella on oltava riittävät taloudelliset ja henkilöresurssit suorittaakseen tehtävänsä täysipainoisesti, kun otetaan huomioon väestömäärä ja käsiteltävien henkilötietojen määrä. [tark. 64]

(93)  Jos jäsenvaltio perustaa useita valvontaviranomaisia, sen olisi säädettävä laissa menettelyistä, joiden avulla varmistetaan, että nämä valvontaviranomaiset osallistuvat tehokkaasti yhdenmukaisuusmekanismin toimintaan. Tällaisen jäsenvaltion olisi erityisesti nimettävä valvontaviranomainen, joka toimii yhteyspisteenä ja varmistaa näiden viranomaisten tehokkaan osallistumisen mekanismiin sekä takaa nopean ja sujuvan yhteistyön muiden valvontaviranomaisten, Euroopan tietosuojaneuvoston ja komission kanssa.

(94)   Kullekin valvontaviranomaiselle olisi osoitettava riittävät taloudelliset ja henkilöresurssit, kiinnittäen erityistä huomiota henkilöstön riittävään tekniseen ja oikeudelliseen pätevyyteen, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon ja yhteistyöhön muiden valvontaviranomaisten kanssa kaikkialla unionissa. [tark. 65]

(95)  Valvontaviranomaisen jäseniin sovellettavat yleiset edellytykset olisi vahvistettava kunkin jäsenvaltion lainsäädännössä. Erityisesti olisi säädettävä, että joko jäsenvaltion parlamentin tai hallituksen on nimitettävä kyseiset jäsenet huolehdittuaan siitä, että poliittisen vaikutuksen mahdollisuus minimoidaan. Lisäksi olisi vahvistettava jäsenten henkilökohtaista pätevyyttä, eturistiriitojen torjuntaa ja asemaa koskevat säännöt. [tark. 66]

(96)  Valvontaviranomaisten olisi seurattava tämän asetuksen säännösten soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi sisämarkkinoilla. Sitä varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa.

(97)  Jos unioniin sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä suorittaa henkilötietojen käsittelyä useammassa kuin yhdessä jäsenvaltiossa, yhdellä valvontaviranomaisella yhden valvontaviranomaisen olisi oltava toimivalta valvoa toimittava rekisterinpitäjän tai henkilötietojen käsittelijän toimintaa yhteyspisteenä ja valvonnasta vastuussa olevana johtavana viranomaisena kaikkialla unionissa ja tehdä sitä koskevia päätöksiä, jotta voidaan lisätä soveltamisen yhdenmukaisuutta, taata oikeusvarmuus ja vähentää tällaisten rekisterinpitäjien ja henkilötietojen käsittelijöiden hallinnollista rasitusta. [tark. 67]

(98)  Tällaista yhden luukun palvelua tarjoavan toimivaltaisen johtavan viranomaisen olisi oltava sen jäsenvaltion valvontaviranomainen, jossa rekisterinpitäjän tai henkilötietojen käsittelijän tai tämän edustajan päätoimipaikka sijaitsee. Euroopan tietosuojaneuvosto voi tietyissä tapauksissa nimittää johtavan viranomaisen yhdenmukaisuusmekanismissa toimivaltaisen viranomaisen pyynnöstä. [tark. 68]

(98 a)  Rekisteröityjen, joiden henkilötietoja käsittelee rekisterinpitäjä tai henkilötietojen käsittelijä toisessa jäsenvaltiossa, olisi voitava osoittaa valituksensa valitsemalleen valvontaviranomaiselle. Johtavan tietosuojaviranomaisen olisi koordinoitava toimensa muiden asianomaisten viranomaisten kanssa. [tark. 69]

(99)  Vaikka tätä asetusta sovelletaan myös kansallisten tuomioistuinten toimintaan, valvontaviranomaisten toimivalta ei saa kattaa tuomioistuinten oikeudellisiin tehtäviin liittyvää henkilötietojen käsittelyä, jotta voidaan turvata tuomareiden riippumattomuus heidän hoitaessaan lainkäyttötehtäviään. Tämä poikkeus olisi kuitenkin rajattava tiukasti koskemaan tuomioistuinten lainkäyttötehtäviä oikeudenkäynneissä, eikä sitä pidä soveltaa muuhun toimintaan, johon tuomarit saattavat osallistua kansallisen lainsäädännön mukaisesti.

(100)  Jotta voitaisiin varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, mukaan lukien tutkintavaltuudet, valtuudet toteuttaa oikeudellisesti sitovia toimia, tehdä päätöksiä ja määrätä seuraamuksia, erityisesti silloin kun yksilöt tekevät valituksia, sekä oikeus panna vireille oikeudellisia menettelyjä. Valvontaviranomaisten tutkintavaltuuksia, jotka koskevat pääsyä tiloihin, olisi käytettävä unionin ja kansallisen lainsäädännön mukaisesti. Tämä koskee erityisesti vaatimusta saada sitä varten ennakkoon tuomioistuimen lupa.

(101)  Kaikkien valvontaviranomaisten olisi käsiteltävä rekisteröityjen tai yleisen edun hyväksi toimivien yhdistysten tekemiä valituksia ja tutkittava asia. Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi. Valvontaviranomaisen olisi ilmoitettava rekisteröidylle tai yhdistykselle valituksen käsittelyn etenemisestä ja sen ratkaisusta kohtuullisen ajan kuluessa. Jos asiassa tarvitaan lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle. [tark. 70]

(102)  Yleisölle suunnattuun valvontaviranomaisen tiedotustoimintaan olisi sisällytettävä erityistoimia, jotka on osoitettu rekisterinpitäjille ja henkilötietojen käsittelijöille, mikroyritykset sekä pienet ja keskisuuret yritykset mukaan lukien, sekä rekisteröidyille.

(103)  Valvontaviranomaisten olisi autettava toisiaan tehtävien suorittamisessa ja annettava keskinäistä apua, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano sisämarkkinoilla.

(104)  Jokaisella valvontaviranomaisella olisi oltava oikeus osallistua valvontaviranomaisten yhteisiin operaatioihin. Pyynnön vastaanottanut valvontaviranomainen olisi velvoitettava vastaamaan pyyntöön tietyssä määräajassa.

(105)  Olisi perustettava yhdenmukaisuusmekanismi valvontaviranomaisten keskinäistä ja niiden ja komission välistä yhteistyötä varten, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen kaikkialla unionissa. Tätä mekanismia olisi sovellettava erityisesti silloin kun valvontaviranomainen aikoo toteuttaa sellaista käsittelytoimea koskevan toimenpiteen, joka liittyy tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seurantaan tai joka saattaisi merkittävästi haitata henkilötietojen vapaata liikkuvuutta. Mekanismia olisi sovellettava myös silloin kun joku valvontaviranomainen tai komissio pyytää asian käsittelyä yhdenmukaisuusmekanismin puitteissa. Lisäksi rekisteröidyillä olisi oltava oikeus vaatia yhdenmukaista käsittelyä, mikäli he katsovat, että jonkin jäsenvaltion tietosuojaviranomainen ei ole toiminut tämän vaatimuksen mukaisesti. Tämä mekanismi ei saisi vaikuttaa toimenpiteisiin, joita komissio voi toteuttaa perussopimuksissa vahvistettujen toimivaltuuksiensa nojalla. [tark. 71]

(106)  Yhdenmukaisuusmekanismin soveltamiseksi Euroopan tietosuojaneuvoston olisi annettava lausunto tietyssä määräajassa, jos sen jäsenten yksinkertainen enemmistö niin päättää tai jos joku valvontaviranomainen tai komissio sitä pyytää.

(106 a)  Euroopan tietosuojaneuvosto voi yksittäisissä tapauksissa tehdä toimivaltaisia valvontaviranomaisia sitovan päätöksen, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen. [tark. 72]

(107)  Komissio voi antaa kyseisestä asiasta lausunnon tai päätöksen, jossa se vaatii valvontaviranomaista keskeyttämään toimenpideluonnoksensa täytäntöönpanon, jotta voidaan varmistaa tämän asetuksen noudattaminen. [tark. 73]

(108)  Saattaa olla tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyn etujen suojaamiseksi, etenkin jos on olemassa vaara, että jonkin rekisteröidylle kuuluvan oikeuden täytäntöönpanolle voi aiheutua merkittävää haittaa. Tätä varten valvontaviranomaisen olisi voitava toteuttaa yhdenmukaisuusmekanismin soveltamisen puitteissa väliaikaisia toimenpiteitä, joiden voimassaolo on rajoitettu.

(109)  Tämän mekanismin soveltamisen olisi oltava valvontaviranomaisen asiaa koskevan päätöksen oikeudellisen pätevyyden ja täytäntöönpanon edellytys. Muissa tapauksissa, joilla on rajatylittävää merkitystä, asianomaiset valvontaviranomaiset voivat soveltaa keskinäistä avunantoa ja toteuttaa yhteisiä tutkimuksia kahden- tai monenväliseltä pohjalta yhdenmukaisuusmekanismiin turvautumatta.

(110)  Unionin tasolla olisi perustettava Euroopan tietosuojaneuvosto. Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä. Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu. Komission olisi osallistuttava tietosuojaneuvoston toimintaan. Euroopan tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, mukaan lukien neuvojen antaminen komissiolle unionin toimielimille sekä valvontaviranomaisten yhteistyön tukeminen unionissa, mukaan lukien yhteisten operaatioiden koordinointi. Euroopan tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti. Euroopan tietosuojaneuvoston olisi tehostettava vuoropuhelua asianomaisten sidosryhmien, kuten rekisteröityjen yhdistysten, kuluttajajärjestöjen, rekisterinpitäjien ja muiden merkityksellisten sidosryhmien ja asiantuntijoiden kanssa. [tark. 74]

(111)  Jokaisella Rekisteröidyllä olisi oltava oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle sekä oikeus soveltaa tehokkaita oikeussuojakeinoja perusoikeuskirjan 47 artiklan mukaisesti, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele valitusta tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. [tark. 75]

(112)  Millä tahansa jäsenvaltion lainsäädännön mukaisesti perustetulla yleisen edun hyväksi toimivalla elimellä, järjestöllä tai yhdistyksellä, jonka tarkoituksena on suojella henkilötietojen suojaamiseen liittyviä rekisteröidyn oikeuksia ja etuja, olisi oltava oikeus tehdä valitus valvontaviranomaiselle rekisteröidyn puolesta tämän suostumuksella tai soveltaa oikeussuojakeinoja rekisteröidyn puolesta, tämän valtuutuksella, tai jos kyseessä on henkilötietojen tietoturvaloukkaus tämän asetuksen rikkominen, tehdä oma valitus rekisteröidyn valituksesta riippumatta. [tark. 76]

(113)  Jokaisella luonnollisella tai oikeushenkilöllä olisi oltava oikeus oikeussuojakeinoihin häntä koskevia valvontaviranomaisen päätöksiä vastaan. Kanne valvontaviranomaista vastaan olisi nostettava sen jäsenvaltion tuomioistuimissa, mihin valvontaviranomainen on sijoittautunut.

(114)  Jotta voitaisiin vahvistaa rekisteröityjen oikeussuojaa silloin kun toimivaltainen valvontaviranomainen on sijoittautunut johonkin toiseen jäsenvaltioon kuin rekisteröidyn asuinvaltioon, rekisteröity voi pyytää mitä valtuuttaa minkä tahansa elintä, järjestöä tai yhdistystä, jonka tarkoituksena on suojella henkilötietojen suojaamiseen liittyviä rekisteröidyn oikeuksia ja etuja, yleisen edun hyväksi toimivan elimen, järjestön tai yhdistyksen nostamaan puolestaan kanteen valvontaviranomaista vastaan toisen jäsenvaltion toimivaltaisessa tuomioistuimessa. [tark. 77]

(115)  Jos toiseen jäsenvaltioon sijoittautunut toimivaltainen valvontaviranomainen ei toteuta valituksen perusteella toimenpiteitä tai ei toteuta riittäviä toimenpiteitä, rekisteröity voi pyytää asuinjäsenvaltionsa valvontaviranomaista nostamaan kanteen tuota viranomaista vastaan toisen jäsenvaltion toimivaltaisessa tuomioistuimessa. Tätä ei sovelleta henkilöihin, jotka eivät asu unionissa. Pyynnön vastaanottanut valvontaviranomainen voi päättää, onko pyynnön perusteella asianmukaista toteuttaa toimenpiteitä vai ei, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi. [tark. 78]

(116)  Kantajan olisi voitava valita, nostaako se kanteen rekisterinpitäjää tai henkilötietojen käsittelijää vastaan sen jäsenvaltion tuomioistuimissa, johon rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut, vai jos kantaja asuu unionissa, rekisteröidyn asuinjäsenvaltiossa, paitsi jos rekisterinpitäjä on unionin tai sen jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön. [tark. 79]

(117)  Tuomioistuimet olisi velvoitettava ottamaan yhteyttä toisiinsa, jos epäillään, että toisen jäsenvaltion tuomioistuimissa on vireillä rinnakkainen menettely. Tuomioistuinten olisi voitava keskeyttää asian käsittely, jos toisessa jäsenvaltiossa on vireillä rinnakkainen tapaus. Jäsenvaltioiden olisi varmistettava tuomioistuinmenettelyjen tehokkuus huolehtimalla siitä, että niiden avulla voidaan nopeasti hyväksyä toimenpiteitä, joilla korjataan tai ehkäistään tämän asetuksen rikkominen.

(118)  Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava yksilöille lainvastaisen tietojenkäsittelyn vuoksi mahdollisesti aiheutuneet joko rahalliset tai muut vahingot, mutta rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa korvausvelvollisuudesta ainoastaan, jos ne osoittavat, etteivät se osoittaa, ettei ole vastuussa vahingosta, ja erityisesti, jos ne osoittavat se osoittaa rekisteröidyn tehneen virheen tai jos kyseessä on ylivoimainen este. [tark. 80]

(119)  Olisi säädettävä seuraamuksista julkis- tai yksityisoikeudellisille luonnollisille tai oikeushenkilöille, jotka eivät noudata tätä asetusta. Jäsenvaltioiden olisi varmistettava, että seuraamukset ovat tehokkaita, oikeasuhteisia ja varoittavia, ja toteutettava kaikki toimenpiteet seuraamusten täytäntöönpanemiseksi. Seuraamuksia koskevissa säännöissä olisi oltava asianmukaiset menettelylliset takeet unionin oikeuden yleisten periaatteiden ja perusoikeuskirjan mukaisesti, mukaan lukien oikeutta soveltaa tehokkaita oikeussuojakeinoja, oikeusturvaa ja ne bis in idem ‑periaatetta koskevat takeet. [tark. 81]

(119 a)  Jäsenvaltioiden olisi seuraamuksia soveltaessaan kunnioitettava täysimääräisesti asianmukaisia menettelyllisiä takeita, mukaan lukien oikeutta soveltaa tehokkaita oikeussuojakeinoja, oikeusturvaa ja ne bis in idem ‑periaatetta koskevat takeet. [tark. 82]

(120)  Tämän asetuksen rikkomisen vuoksi määrättävien hallinnollisten seuraamusten lujittamiseksi ja yhdenmukaistamiseksi jokaisella valvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia seuraamuksia. Tässä asetuksessa olisi mainittava nämä rikkomukset ja niistä määrättävien sakkojen enimmäismäärä, joka olisi vahvistettava kussakin tapauksessa erikseen tilanteen mukaan, ottaen huomioon rikkomuksen luonne, vakavuus ja kesto. Yhdenmukaisuusmekanismissa voidaan käsitellä myös hallinnollisten seuraamusten soveltamiseen liittyviä eroavuuksia.

(121)  Ainoastaan journalistisia tarkoituksia tai taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettu Henkilötietojen käsittely käsittelyssä olisi vapautettava aina kun se on tarpeen voitava mahdollistaa vapautuksia ja poikkeuksia eräiden tämän asetuksen säännösten noudattamisesta, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan ja oikeus sananvapauteen ja erityisesti perusoikeuskirjan 11 artiklassa vahvistettu oikeus vastaanottaa ja levittää tietoja. Tätä olisi sovellettava erityisesti audiovisuaalialalla sekä uutis- ja lehtiarkistoissa tapahtuvaan henkilötietojen käsittelyyn. Jäsenvaltioiden olisi tätä varten hyväksyttävä lainsäädäntötoimia, joissa säädetään vapautuksista ja poikkeuksista näiden perusoikeuksien tasapainottamista varten. Jäsenvaltioiden olisi hyväksyttävä tällaisia vapautuksia ja poikkeuksia, jotka koskevat yleisiä periaatteita, rekisteröidyn oikeuksia, rekisterinpitäjää ja henkilötietojen käsittelijää, tiedonsiirtoja kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia sekä yhteistyötä, johdonmukaisuutta ja tietojenkäsittelyyn liittyviä erityistilanteita. Jäsenvaltiot eivät kuitenkaan saisi säätää poikkeuksia muista tämän asetuksen säännöksistä. Jotta voitaisiin ottaa huomioon sananvapautta koskevan oikeuden merkitys kaikissa demokraattisissa yhteiskunnissa, tähän vapauteen liittyviä käsitteitä, kuten journalismia on tulkittava väljästi. Tätä varten jäsenvaltioiden olisi luokiteltava toiminnot tässä asetuksessa säädettyjen vapautusten ja poikkeusten soveltamista varten "journalistisiksi", jos niiden tarkoituksena on, jotta ne kattavat kaikki toimet, joilla pyritään esittää yleisölle tietoja, mielipiteitä tai ajatuksia niiden levittämisessä käytettävästä välineestä riippumatta ottaen myöskin huomioon teknisen kehityksen. Tällaisia toimintoja ei pitäisi rajoittaa pelkästään mediayrityksiin, ja niitä olisi voitava toteuttaa sekä voiton tavoittelemiseksi että voittoa tavoittelemattomassa tarkoituksessa. [tark. 83]

(122)  Terveystiedot ovat erityissuojelua tarvitseva erityinen tietoryhmä, ja niiden käsittelyyn on yleensä useita oikeutettuja syitä, jotka liittyvät sekä yksilön että koko yhteiskunnan etuun ja erityisesti rajatylittävän terveydenhuollon jatkuvuuden varmistamiseen. Sen vuoksi tässä asetuksessa olisi säädettävä terveystietojen käsittelyä koskevista yhdenmukaisista edellytyksistä, kunhan yksilön perusoikeuksien ja henkilötietojen suojaamiseksi annetaan erityiset ja asianmukaiset takeet. Tähän sisältyy yksilön oikeus saada pääsy omiin terveystietoihinsa, kuten terveystiedostoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset, hoitavien lääkärien arviot ja muut hoitoa tai muita toimenpiteitä koskevat tiedot.

(122 a)  Terveystietoja käsittelevän ammattihenkilön olisi saatava mahdollisuuksien mukaan käyttöönsä nimettömiä tai salanimellä julkaistuja tietoja, jolloin ainoastaan tällaista tietojen käsittelyä pyytänyt yleis- tai erikoislääkäri on tietoinen todellisesta henkilöllisyydestä. [tark. 84]

(123)  Terveystietoja saattaa olla tarpeen käsitellä ilman rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista syistä. Tässä yhteydessä 'kansanterveydellä' olisi kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista 16 päivänä joulukuuta 2008 annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1338/2008(9) esitetyn määritelmän mukaisesti tarkoitettava kaikkia niitä osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuoltopalvelujen tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuoltopalvelujen tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä kuolleisuuden syitä. Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten kolmansien osapuolten kuten työnantajien tai vakuutusyhtiöiden ja pankkien toimesta. [tark. 85]

(123 a)  Terveystiedot ovat erityinen tietoryhmä. Niiden käsittely voi olla tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten. Näin ollen asetuksessa mahdollistetaan poikkeus suostumuksen vaatimisesta, jos on kyse tärkeää yleistä etua koskevasta tutkimuksesta. [tark. 86]

(124)  Yksilöiden suojelua henkilötietojen käsittelyssä koskevia yleisiä periaatteita olisi sovellettava myös työsuhteen ja sosiaaliturvan yhteydessä. Siksi Jäsenvaltioiden olisi tässä asetuksessa asetetuissa rajoissa voitava antaa lainsäädännössä henkilötietojen käsittelyä työsuhteen yhteydessä koskevat erityiset säännöt, jotta voidaan säännellä työntekijöiden henkilötietojen käsittelyä työsuhteen tai henkilötietojen käsittelyä sosiaaliturvan yhteydessä tässä asetuksessa esitettyjen sääntöjen ja vähimmäisnormien mukaisesti. Jos kyseisen jäsenvaltion lainsäädännössä on oikeusperusta työsuhteeseen liittyvien kysymysten sääntelemiseksi työntekijöiden edustajan ja yrityksen tai yritysryhmän määräysvaltaa käyttävän yrityksen johdon välisellä sopimuksella (työehtosopimuksella) tai Euroopan parlamentin ja neuvoston direktiivin 2009/38/EY(10) nojalla, myös henkilötietojen käsittelyä työsuhteen yhteydessä voidaan säännellä tällaisella sopimuksella. [tark. 87]

(125)  Jotta historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten suoritettava henkilötietojen käsittely olisi lainmukaista, siinä olisi noudatettava myös muita asiaan liittyviä lakisääteisiä vaatimuksia, kuten kliinisiä kokeita koskevia sääntöjä.

(125 a)  Henkilötietoja voivat käsitellä jälkikäteen arkistot, joiden päätehtävänä tai oikeudellisena velvoitteena on arkistotietojen kerääminen, tallentaminen, viestittäminen, hyödyntäminen ja jakaminen yleisen edun vuoksi. Jäsenvaltion lainsäädännössä on sovitettava yhteen oikeus henkilötietojen suojaan, arkistoja koskevat säännöt ja oikeus tutustua hallinnolliseen tietoon. Jäsenvaltioiden olisi edistettävä erityisesti Euroopan arkistointialan asiantuntijaryhmän avulla sellaisten sääntöjen laadintaa, joilla taataan tietojen luottamuksellisuus kolmansien osapuolten osalta sekä tietojen aitous, eheys ja asianmukainen säilyttäminen; [tark. 88]

(126)  Tieteellisellä tutkimuksella olisi tämän asetuksen soveltamista varten tarkoitettava myös perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta, ja siinä olisi otettava huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 179 artiklan 1 kohdassa vahvistettu eurooppalaisen tutkimusalueen toteuttamista koskeva tavoite. Tietojen käsittely historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten, paitsi jos rekisteröity on antanut suostumuksensa tai jos unionin tai jäsenvaltion lainsäädäntö mahdollistaa sen. [tark. 89]

(127)  Koska valvontaviranomaisilla on valtuudet saada rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä pääsy henkilötietoihin ja rekisterinpitäjien ja henkilötietojen käsittelijöiden toimitiloihin, jäsenvaltiot voivat vahvistaa lainsäädännössä tässä asetuksessa asetetuissa rajoissa erityiset säännöt, joiden avulla taataan vaitiolovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen henkilötietojen suojaa koskevan oikeuden ja vaitiolovelvollisuuden yhteensovittamiseksi.

(128)  Tässä asetuksessa kunnioitetaan kirkkojen ja uskonnollisten yhdistysten tai yhdyskuntien asemaa, joka niillä on kansallisen lainsäädännön mukaisesti jäsenvaltioissa, eikä puututa siihen, kuten Euroopan unionin toiminnasta tehdyn sopimuksen 17 artiklassa todetaan. Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan kattavia asianmukaisia sääntöjä, jotka koskevat yksilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä olisi sen vuoksi sovellettava edelleen, kunhan ne saatetaan ja on tunnustettu tämän asetuksen mukaisiksi. Tällaisia kirkkoja ja uskonnollisia yhdistyksiä olisi vaadittava säätämään täysin riippumattomien valvontaviranomaisten perustamisesta. [tark. 90]

(129)  Jotta voidaan saavuttaa tämän asetuksen tavoitteet eli suojata luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan sekä varmistaa henkilötietojen vapaa liikkuvuus unionissa, komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti. Delegoituja säädöksiä olisi annettava erityisesti käsittelyn lainmukaisuudesta; lapsen suostumusta koskevien kriteerien ja edellytysten kuvakkeisiin perustuvan tietojen välittämisen vaatimusten määrittämisestä; erityisten tietoryhmien käsittelystä; ilmeisen kohtuuttomia pyyntöjä ja rekisteröidyn oikeuksien käytöstä perittäviä maksuja koskevien kriteerien ja edellytysten määrittämisestä; rekisteröidylle ilmoittamista ja rekisteröidyn tiedonsaantioikeutta koskevista kriteereistä ja vaatimuksista; oikeudesta tulla unohdetuksi ja poistaa tiedot; profilointiin perustuvista toimenpiteistä; sisäänrakennettuun ja oletusarvoiseen tietosuojaan liittyvää rekisterinpitäjän vastuuta koskevista kriteereistä ja vaatimuksista; henkilötietojen käsittelijästä; käsittelyn dokumentointia ja turvallisuutta koskevista kriteereistä ja vaatimuksista; kriteereistä ja vaatimuksista sen määrittämiseksi, koska on tapahtunut henkilötietojen tietoturvaloukkaus, ja siitä ilmoittamiseksi valvontaviranomaisille, sekä olosuhteista, joissa henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia rekisteröidyille; tietosuojaa koskevan vaikutustenarvioinnin laatimista edellyttävien käsittelytoimien kriteereistä ja vaatimuksista; ennakkokuulemista edellyttävien merkittävien erityisten riskien määrittämistä koskevista kriteereistä ja vaatimuksista; tietosuojavastaavan nimittämisestä ja tehtävistä; käytännesäännöistä; sen toteamisesta, että käytännesäännöt ovat tämän asetuksen mukaisia; sertifiointimekanismeja koskevista kriteereistä ja vaatimuksista; kolmannen maan tai kansainvälisen järjestön antaman tietosuojan riittävyydestä; yritystä koskevien sitovien sääntöjen perusteella tehtävien tiedonsiirtojen kriteereistä ja vaatimuksista; tiedonsiirtoja koskevista poikkeuksista; hallinnollisista seuraamuksista; tietojen käsittelystä terveyteen liittyvien syiden vuoksi; työsuhteeseen liittyvästä käsittelystä ja historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten tehtävästä käsittelystä ja työsuhteen yhteydessä. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että se kuulee erityisesti Euroopan tietosuojaneuvostoa. Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti. [tark. 91]

(130)  Tämän asetuksen yhdenmukaisen soveltamisen varmistamiseksi komissiolle olisi siirrettävä täytäntöönpanovaltaa, jonka nojalla se voi vahvistaa vakiolomakkeet todennettavissa olevan suostumuksen saamiseksi käytettäviä erityisiä menetelmiä lapsen henkilötietojen käsittelyä varten; vakiomenettelyt ja ‑lomakkeet rekisteröidyn vakiolomakkeet rekisteröidylle toimittamista varten heille kuuluvien oikeuksien käyttämistä varten käytöstä; vakiolomakkeet rekisteröidylle ilmoittamista varten; vakiolomakkeet ja -menettelyt tiedonsaantioikeutta varten, henkilötietojen toimittaminen rekisteröidylle mukaan luettuna, rekisterinpitäjän ja henkilötietojen käsittelijän tallentamaan; oikeuden siirtää tiedot järjestelmästä toiseen; sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä käsittelyn dokumentointiin liittyvää rekisterinpitäjän vastuuta koskevat liittyvät vakiolomakkeet; tietojenkäsittelyn turvallisuutta koskevat erityisvaatimukset; vakiolomakkeet ja ‑menettelyt vakiolomake henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi valvontaviranomaiselle ja rekisteröidylle; normit ja menettelyt tietosuojaa koskevan vaikutustenarvioinnin laatimista varten sekä dokumentoimiseksi; lomakkeet ennakkokuulmeista ja menettelyt ennakkohyväksyntää ja -kuulemista valvontaviranomaiselle ilmoittamista varten; tekniset standardit ja mekanismit sertifiointia varten; kolmannen maan, kolmannessa maassa olevan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan riittävyyden; tietojen luovutuksen, jota ei hyväksytä unionin lainsäädännössä; keskinäisen avunannon; yhteiset operaatiot; yhdenmukaisuusmekanismin puitteissa tehdyt päätökset. Tätä valtaa olisi käytettävä yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä, 16 päivänä helmikuuta 2011 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011(11) mukaisesti. Tässä yhteydessä komission olisi harkittava erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi. [tark. 92]

(131)  Olisi käytettävä tarkastelumenettelyä, kun vahvistetaan vakiolomakkeet lapsen suostumuksen antamista varten; vakiomenettelyt ja -lomakkeet rekisteröidyn oikeuksien käyttämistä varten; vakiolomakkeet rekisteröidylle ilmoittamista varten; vakiolomakkeet ja ‑menettelyt tiedonsaantioikeutta varten; oikeudesta siirtää tiedot järjestelmästä toiseen; sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä käsittelyn dokumentointiin liittyvää rekisterinpitäjän vastuuta koskevat vakiolomakkeet; tietojenkäsittelyn turvallisuutta koskevat erityisvaatimukset; vakiolomakkeet ja ‑menettelyt henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi valvontaviranomaiselle ja rekisteröidylle; normit ja menettelyt tietosuojaa koskevan vaikutustenarvioinnin laatimista varten; lomakkeet ja menettelyt ennakkohyväksyntää ja ‑kuulemista varten; tekniset standardit ja mekanismit sertifiointia varten; kolmannen maan, kolmannessa maassa olevan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan riittävyyden; tietojen luovutuksen, jota ei hyväksytä unionin lainsäädännössä; keskinäisen avunannon; yhteiset operaatiot; yhdenmukaisuusmekanismin puitteissa tehdyt päätökset, koska kyseiset toimenpiteet ovat yleisluonteisia. Olisi käytettävä tarkastelumenettelyä, kun vahvistetaan vakiolomakkeet: todennettavissa olevan suostumuksen saamiseksi käytettäville erityisille menetelmille lapsen henkilötietojen käsittelyä varten; rekisteröidylle ilmoittamista varten heille kuuluvien oikeuksien käytöstä; rekisteröidylle ilmoittamista varten; tiedonsaantioikeutta varten, henkilötietojen toimittaminen rekisteröidylle mukaan luettuna; rekisterinpitäjän ja henkilötietojen käsittelijän tallentaman dokumentoinnin osalta; henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi valvontaviranomaiselle ja henklilökohtaisen tietoturvaloukkauksen dokumentoimiseksi; ennakkokuulemista ja valvontaviranomaiselle ilmoittamista varten, koska kyseiset toimenpiteet ovat yleisluonteisia. [tark. 93]

(132)  Komission olisi hyväksyttävä välittömästi sovellettavia täytäntöönpanosäädöksiä, kun tämä on tarpeen asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa, jotka liittyvät kolmanteen maahan tai kyseisen kolmannen maan alueeseen tai tietojenkäsittelyn sektoriin tai kansainväliseen järjestöön, joka ei tarjoa riittävää tietosuojaa, tai valvontaviranomaisten yhdenmukaisuusmekanismin mukaisesti ilmoittamiin seikkoihin. [tark. 94]

(133)  Koska jäsenvaltiot eivät voi yksinään riittävällä tavalla saavuttaa tämän asetuksen tavoitetta, joka on yksilöiden yhdenmukaisen suojelun ja tietojen vapaan liikkuvuuden varmistaminen unionissa, vaan se voidaan toimien laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla, unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tämän tavoitteen saavuttamiseksi tarpeen.

(134)  Direktiivi 95/46/EY olisi korvattava tällä asetuksella. Direktiiviin 95/46/EY perustuvien komission päätösten ja valvontaviranomaisten antamien ennakkohyväksyntöjen olisi kuitenkin jäätävä voimaan. Henkilötietojen siirtämistä kolmansiin maihin 41 artiklan 8 kohdan mukaisesti koskevien komission päätösten ja valvontaviranomaisten antamien ennakkohyväksyntöjen olisi jäätävä voimaan viisivuotisen siirtymäajan ajaksi tämän asetuksen voimaantulosta, paitsi jos valvontaviranomainen muuttaa niitä tai korvaa tai kumoaa ne ennen tämän kauden päättymistä. [tark. 95]

(135)  Tätä asetusta olisi sovellettava kaikkiin sellaisiin perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskeviin seikkoihin, joihin ei sovelleta Euroopan parlamentin ja neuvoston direktiivissä 2002/58/EY(12) säädettyjä erityisiä velvoitteita, joilla on sama tavoite, rekisterinpitäjää koskevat velvoitteet ja yksilön oikeudet mukaan lukien. Tämän asetuksen ja direktiivin 2002/58/EY keskinäisen suhteen selkeyttämiseksi olisi kyseistä direktiiviä tarkistettava.

(136)  Islannin ja Norjan osalta tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin neuvoston sekä Islannin tasavallan ja Norjan kuningaskunnan välisessä sopimuksessa viimeksi mainittujen osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen(13), siltä osin kuin asetusta sovelletaan mainittua säännöstöä soveltavien viranomaisten suorittamaan henkilötietojen käsittelyyn.

(137)  Sveitsin osalta tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton välisessä sopimuksessa Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen(14), siltä osin kuin asetusta sovelletaan mainittua säännöstöä soveltavien viranomaisten suorittamaan henkilötietojen käsittelyyn.

(138)  Liechtensteinin osalta tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön, Sveitsin valaliiton ja Liechtensteinin ruhtinaskunnan välisessä pöytäkirjassa, joka koskee Liechtensteinin ruhtinaskunnan liittymistä Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton väliseen sopimukseen Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen(15), siltä osin kuin asetusta sovelletaan mainittua säännöstöä soveltavien viranomaisten suorittamaan henkilötietojen käsittelyyn.

(139)  Koska Euroopan unionin tuomioistuin on korostanut, että oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan että sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja oikeasuhteisuuden periaatteen mukaisesti muut perusoikeudet huomioon ottaen, tässä asetuksessa kunnioitetaan perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut periaatteet sellaisina kuin ne on vahvistettu perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, oikeus henkilötietojen suojaan, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen sekä oikeus kulttuuriseen, uskonnolliseen ja kielelliseen monimuotoisuuteen,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

YLEISET SÄÄNNÖKSET

1 artikla

Kohde ja tavoitteet

1.  Tällä asetuksella vahvistetaan säännöt yksilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta.

2.  Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

3.  Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät yksilöiden suojeluun henkilötietojen käsittelyssä.

2 artikla

Aineellinen soveltamisala

1.  Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automatisoitu käsittelytavasta riippumatta, sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2.  Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

a)  jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan ja joka koskee erityisesti kansallista turvallisuutta;

b)  jota suorittavat unionin toimielimet, elimet ja laitokset;

c)  jota suorittavat jäsenvaltiot toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;

d)  jota suorittaa luonnollinen henkilö ilman ansaitsemistarkoitusta oman, yksinomaan henkilökohtaisen tai kotitalouttaan koskevan toimintansa yhteydessä; tämä vapautus koskee myös henkilötietojen julkistamista, jos voidaan kohtuudella olettaa, että ne ovat vain rajoitetun henkilömäärän saatavilla;

e)  jota suorittavat toimivaltaiset viranomaiset rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten.

3.  Tämä asetus ei vaikuta direktiivin 2000/31/EY soveltamiseen eikä etenkään sen 12–15 artiklassa vahvistettuihin sääntöihin välittäjinä toimivien palveluntarjoajien vastuusta. [tark. 96]

3 artikla

Alueellinen soveltamisala

1.  Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella.

2.  Tätä asetusta sovelletaan unionissa asuvia rekisteröityjä koskevien henkilötietojen käsittelyyn unionissa, jota suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin, jos käsittely liittyy

a)  tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekisteröidyltä maksua; tai

b)  näiden rekisteröityjen käyttäytymisen seurantaan.

3.  Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä ei ole sijoittautunut unioniin vaan paikkaan, jossa sovelletaan jonkin jäsenvaltion kansallista lakia kansainvälisen julkisoikeuden nojalla. [tark. 97]

4 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan

1)  'rekisteröidyllä' luonnollista henkilöä, joka on tunnistettu tai tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko rekisterinpitäjä tai muu luonnollinen tai oikeushenkilö voi kohtuuden rajoissa käyttää, erityisesti henkilönumeron, sijaintitiedon, internet-tunnisteiden taikka yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella;

2)  'henkilötiedoilla' kaikkia rekisteröityä tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (jäljempänä 'rekisteröity') koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnisteiden, kuten nimen, henkilönumeron, sijaintitiedon, yksilöllisen tunnisteen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen, sosiaalisen tai sukupuoleen liittyvän tekijän perusteella;

2 a)  ’salanimellä julkaistuilla tiedoilla’ henkilötietoja, joita ei voida sinällään yhdistää rekisteröityyn käyttämättä lisätietoja, kunhan tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä sen varmistamiseksi, ettei tällaista yhdistämistä tapahdu;

2 b)  ’suojatuilla tiedoilla’ henkilötietoja, jotka on teknisten suojatoimenpiteiden avulla muutettu sellaiseen muotoon, että ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin;

3)  'käsittelyllä' kaikenlaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin tai henkilötietojen kokoelmiin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, käyttö, tietojen luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittaminen tai yhdistäminen sekä niiden poistaminen tai tuhoaminen;

3 a)  ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jonka tarkoituksena on arvioida luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia tai analysoida tai ennakoida erityisesti luonnollisen henkilön työsuoritusta, taloudellista tilannetta, sijaintia, terveyttä, henkilökohtaisia mieltymyksiä, luotettavuutta tai käyttäytymistä;

4)  'rekisteröintijärjestelmällä' kaikkia sellaisia järjestettyjä henkilötietojen kokoelmia, joista tiedot ovat saatavilla tietyin perustein, oli kokoelma sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu;

5)  'rekisterinpitäjällä' luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset, edellytykset ja keinot; jos käsittelyn tarkoitukset, edellytykset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin tai jäsenvaltioiden säännösten mukaisesti;

6)  'henkilötietojen käsittelijällä' luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

7)  'vastaanottajalla' luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle henkilötietoja luovutetaan;

7 a)  ’kolmannella osapuolella’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää;

8)  'rekisteröidyn suostumuksella' mitä tahansa vapaaehtoista, yksilöityä, tietoista ja nimenomaista tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen;

9)  ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen tapahtuvaa tai lainvastaista siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tuhoamista, häviämistä, muuttamista, luvatonta luovuttamista taikka saanti saantia;

10)  ’geneettisillä tiedoilla’ kaikenlaisia tietoja kaikkia henkilötietoja, jotka liittyvät yksilön perityistä tai sikiöaikaisen kehityksen aikana syntyneistä ominaisuuksista perittyihin tai synnynnäisiin ominaisuuksiin, koska ne on saatu kyseisen henkilön biologisesta näytteestä analysoimalla, erityisesti kromosomien DNA:sta tai RNA:sta tai muusta vastaavia tietoja tarjoavasta tekijästä tehdyllä analyysilla;

11)  ’biometrisillä tiedoilla’ kaikkia yksilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyviä tietoja henkilötietoja, joiden perusteella yksilö voidaan tunnistaa, kuten kasvokuvia tai sormenjälkitietoja;

12)  'terveystiedoilla' yksilön fyysiseen tai psyykkiseen terveyteen tai hänelle annettuihin terveyspalveluihin liittyviä tietoja henkilötietoja;

13)  ’päätoimipaikalla’ unionissa sijaitsevaa rekisterinpitäjän rekisterinpitäjänä tai henkilötietojen käsittelijänä toimivan yrityksen tai yritysryhmän sijoittautumispaikkaa, jossa tehdään henkilötietojen käsittelyn tarkoituksia, edellytyksiä ja keinoja koskevat tärkeimmät päätökset; jos päätöksiä henkilötietojen käsittelyn tarkoituksista, edellytyksistä ja keinoista ei tehdä unionissa, päätoimipaikka on paikka, jossa unioniin sijoittautuneen rekisterinpitäjän toimintaan liittyvät tärkeimmät käsittelytoimet suoritetaan. Henkilötietojen käsittelijän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa; asiassa voidaan harkita muun muassa seuraavia objektiivisia kriteerejä: rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan sijainti; sen yritysryhmään kuuluvan yksikön sijaintipaikka, jonka sijainti on sopivin hallinnollisten toimintojen ja tehtävien suorittamiseen sekä tässä asetuksessa vahvistettujen sääntöjen käsittelemiseen ja täytäntöönpanemiseen; se paikka, jossa toteutetaan todellisia hallinnointitoimia, joilla määritetään kiinteässä toimipaikassa tapahtuva tietojenkäsittely;

14)  ’edustajalla’ unioniin sijoittautunutta luonnollista tai oikeushenkilöä, jonka rekisterinpitäjä on nimenomaisesti nimennyt toimimaan lukuunsa ja jonka puoleen valvontaviranomaiset ja muut elimet unionissa voivat kääntyä rekisterinpitäjän sijasta edustamaan itseään, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän velvollisuuksista;

15)  'yrityksellä' taloudellista toimintaa harjoittavaa yksikköä sen oikeudellisesta muodosta riippumatta, mukaan lukien erityisesti luonnolliset ja oikeushenkilöt, kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa;

16)  'yritysryhmällä' määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä;

17)  'yritystä koskevilla sitovilla säännöillä' henkilötietojen suojelutoimia, joita jonkin jäsenvaltion alueelle sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai useammassa kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle yritysryhmän sisällä;

18)  'lapsella' alle 18-vuotiasta henkilöä;

19)  'valvontaviranomaisella' jäsenvaltion 46 artiklan mukaisesti perustamaa viranomaista. [tark. 98]

II LUKU

PERIAATTEET

5 artikla

Henkilötietojen käsittelyä koskevat periaatteet

Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)  niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (lainmukaisuus, kohtuullisuus ja läpinäkyvyys);

b)  ne on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla (käsittelytarkoituksen rajoittaminen);

c)  niiden on oltava asianmukaisia ja olennaisia ja niiden määrä on rajoitettava mahdollisimman vähään suhteessa niihin tarkoituksiin, joita varten niitä käsitellään; niitä saa käsitellä vain ja ainoastaan siltä osin kuin näitä tarkoituksia ei voitu täyttää käsittelemällä tietoja, joihin ei sisälly henkilötietoja (tietojen minimointi);

d)  niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; on tehtävä kaikki mahdollinen sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä (paikkansapitävyys);

e)  ne on säilytettävä muodossa, josta rekisteröity on suoraan tai epäsuorasti tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos tietoja käsitellään ainoastaan historiantutkimusta, tilastollisia tai tieteellisiä tarkoituksia taikka arkistoimista varten 83 ja 83 a artiklassa vahvistettujen sääntöjen ja edellytysten mukaisesti ja jos niiden säilyttämisen tarpeellisuutta arvioidaan säännöllisesti uudelleen ja jos toteutetaan asianmukaisia teknisiä ja organisatorisia toimia niin, että tietojen saatavuus rajataan ainoastaan näihin tarkoituksiin (säilyttämisen minimointi);

e a)  niitä on käsiteltävä niin, että rekisteröity voi tehokkaasti käyttää oikeuksiaan (tehokkuus);

e b)  niitä on käsiteltävä tavalla, joka suojaa luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (eheys);

f)  vastuu henkilötietojen käsittelystä kuuluu rekisterinpitäjälle, jonka on varmistettava ja osoitettava jokaisen käsittelytoimen osalta voitava osoittaa, että tämän asetuksen säännöksiä on noudatettu (tilivelvollisuus). [tark. 99]

6 artikla

Käsittelyn lainmukaisuus

1.  Henkilötietojen käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)  rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistarkoitusta varten;

b)  käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)  käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d)  käsittely on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi;

e)  käsittely on tarpeen yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;

f)  käsittely on tarpeen rekisterinpitäjän tai, kun kyse on tietojen luovuttamisesta, kolmannen osapuolen, jolle tiedot luovutetaan, oikeutetun edun toteuttamiseksi edellyttäen, että ne täyttävät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, paitsi milloin tämän edun syrjäyttävät henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja ‑vapaudet, erityisesti jos rekisteröity on lapsi. Tätä ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

2.  Henkilötietojen käsittely, joka on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, on lainmukaista, jos 83 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan.

3.  Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perusteista on säädettävä

a)  unionin lainsäädännössä, tai

b)  sen jäsenvaltion laissa, jota sovelletaan rekisterinpitäjään.

Kyseisen jäsenvaltion lain on oltava yleistä etua koskevan tavoitteen mukainen tai sen on oltava tarpeen muille kuuluvien oikeuksien ja vapauksien suojaamiseksi ja noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja oltava tavoiteltuun päämäärään nähden oikeasuhteinen. Jäsenvaltion lainsäädännössä voidaan tämän asetuksen rajoissa esittää käsittelyn lainmukaisuuden yksityiskohtia, jotka koskevat etenkin rekisterinpitäjiä, käsittelytarkoitusta ja sen rajoittamista, tietojen luonnetta ja rekisteröityjä, käsittelytoimia ja ‑menettelyjä, tietojen vastaanottajia sekä tietojen säilyttämisen kestoa.

4.  Jos jatkokäsittelyn tarkoitus on ristiriidassa sen tarkoituksen kanssa, jota varten henkilötiedot on kerätty, käsittelyn oikeusperustana on oltava vähintään yksi 1 kohdan a–e alakohdassa tarkoitettu peruste. Tätä sovelletaan erityisesti sopimusmääräysten ja yleisten sopimusehtojen muuttamisen yhteydessä.

5.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan f alakohdassa tarkoitetut edellytykset eri aloja ja erilaisia tietojenkäsittelytilanteita varten, mukaan lukien lapsen henkilötietojen käsittely. [tark. 100]

7 artikla

Suostumuksen edellytykset

1.  Jos käsittely perustuu suostumukseen, rekisterinpitäjän on osoitettava, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn tiettyjä tarkoituksia varten.

2.  os rekisteröidyn on annettava suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva vaatimus on esitettävä selvästi erillään näistä muista asioista. Rekisteröidyn suostumusta koskevat säännökset, jotka ovat osittain tämän asetuksia vastaisia, ovat täysin pätemättömiä.

3.  Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa muista oikeudellisista käsittelyperusteista huolimatta. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. Rekisterinpitäjä ilmoittaa rekisteröidylle, jos suostumuksen peruuttaminen johtaa tarjottujen palvelujen lopettamiseen tai suhteen päättymiseen rekisterinpitäjän kanssa.

4.  Suostumus ei muodosta oikeusperustaa henkilötietojen käsittelylle, jos rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta on sidoksissa käyttötarkoitukseen ja mitätöityy, kun tarkoitus lakkaa olemasta tai kun henkilötietojen käsittely ei ole enää tarpeellista sitä tarkoitusta varten, johon ne alun perin kerättiin. Sopimuksen täytäntöönpanon tai palvelun tarjoamisen ehdoksi ei aseteta sellaisten tietojen käsittelyä koskevaa suostumusta, jotka eivät ole välttämättömiä sopimuksen täytäntöönpanemiseksi tai palvelun tarjoamiseksi 6 artiklan 1 kohdan b alakohdassa tarkoitetulla tavalla. [tark. 101]

8 artikla

Lapsen henkilötietojen käsittely

1.  Tätä asetusta sovellettaessa katsotaan, että kun kyseessä on tietoyhteiskunnan tuotteiden tai palvelujen tarjoaminen suoraan lapselle, alle 13-vuotiaan lapsen henkilötietojen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempi tai huoltaja laillinen edustaja on antanut siihen suostumuksen tai valtuutuksen. Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet todennettavissa olevan tällaisen suostumuksen saamiseksi varmistamiseksi, käytettävissä oleva teknologia huomioon ottaen ja aiheuttamatta tarpeetonta henkilötietojen käsittelyä.

1 a.  Lapsille, vanhemmille ja laillisille edustajille annettavat tiedot suostumuksen ilmaisemiseksi, mukaan lukien tiedot siitä, miten rekisterinpitäjä kerää ja käyttää henkilötietoja, olisi esitettävä kohderyhmälle sopivalla selkeällä kielellä.

2.  Edellä oleva 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.

3.  Siirretään komissiolle valta Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitettuja, todennettavissa olevan tarkoitettuun suostumuksen saamiseksi varmistamiseen käytettäviä menetelmiä koskevat kriteerit ja vaatimukset suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan mukaisesti. Tässä yhteydessä komissio harkitsee erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

4.  Komissio voi laatia vakiolomakkeet 1 kohdassa tarkoitettuja, todennettavissa olevan suostumuksen saamiseksi käytettäviä erityisiä menetelmiä varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 102]

9 artikla

Erityisiä tietoryhmiä koskeva käsittely Erityiset tietoryhmät

1.  Sellaisten henkilötietojen käsittely, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta, seksuaalista suuntautumista tai sukupuoli-identiteettiä tai ammattiliittoon kuulumista ja ammattiyhdistystoimintaa, sekä geneettisten tai biometristen tietojen tai terveyteen ja seksuaaliseen käyttäytymiseen, hallinnollisiin seuraamuksiin, oikeuden päätöksiin, rikoksiin tai rikostuomioihin tai rikosepäilyihin, tuomioihin taikka niihin liittyviin turvaamistoimenpiteisiin liittyvien tietojen käsittely on kielletty.

2.  Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

a)  rekisteröity on antanut suostumuksensa kyseisten henkilötietojen käsittelyyn yhteen tai useampaan tiettyyn tarkoitukseen 7 ja 8 artiklassa säädettyjen edellytysten mukaisesti, paitsi jos unionin tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella; tai

a a)  käsittely on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osallisena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

b)  käsittely on tarpeen rekisterinpitäjän velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden alalla, siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä taikka työehtosopimuksissa, jossa säädetään asianmukaiset takeet, joilla taataan rekisteröidyn perusoikeudet ja edut, kuten oikeus syrjimättömyyteen, edellyttäen että 82 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

c)  käsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

d)  käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin takein, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että tietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta; tai

e)  käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi; tai

f)  käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai

g)  käsittely on tarpeen tärkeää yleistä etua koskevan tehtävän suorittamiseksi unionin tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhtainen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista toimenpiteistä rekisteröidyn oikeutettujen perusoikeuksien ja etujen suojaamiseksi; tai

h)  terveystietojen käsittely on tarpeen terveyteen liittyvistä syistä, edellyttäen että 81 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

i)  käsittely on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, edellyttäen että 83 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

i a)  käsittely on tarpeen arkistoille, edellyttäen että 83 a artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

j)  rikostuomioihin hallinnollisiin seuraamuksiin, oikeuden päätöksiin, rikoksiin, tuomioihin tai niihin liittyviin turvaamistoimiin liittyvien tietojen käsittely suoritetaan joko viranomaisen valvonnassa tai kun käsittely on tarpeen rekisterinpitäjälle laissa tai asetuksessa asetetun velvoitteen noudattamiseksi tai tärkeää yleistä etua koskevan tehtävän suorittamiseksi, ja siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista takeista. Täydellistä Rikosrekisteriä saa pitää vain julkisen viranomaisen valvonnassa.

3.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa 1 kohdassa tarkoitettujen erityisten tietoryhmien käsittelyä koskevat kriteerit, edellytykset ja asianmukaiset takeet suuntaviivat, suositukset ja parhaat käytännöt sekä 2 kohdassa säädetyt poikkeukset 66 artiklan mukaisesti. [tark. 103]

10 artikla

Käsittely, joka ei mahdollista tunnistamista

1.  Jos rekisterinpitäjä tai henkilötietojen käsittelijä ei pysty tunnistamaan tai yksilöimään luonnollista henkilöä käsiteltävien tietojen perusteella, rekisterinpitäjällä ei ole velvollisuutta hankkia suoraan tai epäsuorasti tai kaikki tiedot ovat salanimellä julkaistuja, rekisterinpitäjä ei käsittele tai hanki lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä.

2.  Jos rekisterinpitäjä ei pysty noudattamaan tämän asetuksen säännöksiä 1 kohdan takia, rekisterinpitäjällä ei ole velvollisuutta noudattaa tämän asetuksen kyseistä säännöstä. Jos rekisterinpitäjä ei tästä syystä pysty noudattamaan rekisteröidyn pyyntöä, tämän on ilmoitettava asiasta rekisteröidylle. [tark. 104]

10 a artikla

Rekisteröidyn oikeuksia koskevat yleisperiaatteet

1.  Tietosuoja perustuu selkeisiin ja yksiselitteisiin rekisteröidyn oikeuksiin, joita rekisterinpitäjän on kunnioitettava. Tämän asetuksen säännöksillä pyritään vahvistamaan, selventämään, takaamaan ja tarvittaessa kodifioimaan näitä oikeuksia.

2.  Näitä oikeuksia ovat muun muassa rekisteröidyn oikeus saada selkeässä ja helposti ymmärrettävässä muodossa tietoja henkilötietojensa käsittelystä, oikeus tarkastella, oikaista ja poistaa henkilökohtaisia tietojaan, oikeus saada tietoja, oikeus vastustaa profilointia, oikeus tehdä valitus toimivaltaiselle tietosuojaviranomaiselle, oikeus käynnistää oikeustoimet sekä oikeus saada korvaus lainvastaisesta käsittelystä. Näitä oikeuksia on voitava yleisesti toteuttaa maksutta. Rekisterinpitäjän on vastattava rekisteröidyn pyyntöihin kohtuullisessa ajassa. [tark. 105]

III LUKU

REKISTERÖIDYN OIKEUDET

1 JAKSO

LÄPINÄKYVYYS JA SITÄ KOSKEVAT YKSITYISKOHTAISET SÄÄNNÖT

11 artikla

Läpinäkyvä tiedottaminen ja viestintä

1.  Rekisterinpitäjällä on oltava henkilötietojen käsittelyä ja rekisteröidyn oikeuksien käyttöä varten tiiviisti esitetyt, läpinäkyvät, selkeät ja helposti saatavilla olevat toimintatavat.

2.  Rekisterinpitäjän on toimitettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot ja viestit helposti ymmärrettävässä muodossa sekä selkeällä ja yksinkertaisella kielellä, jossa otetaan huomioon rekisteröidyn tarpeet, etenkin kun tiedot on suunnattu erityisesti lapselle. [tark. 106]

12 artikla

Menettelyt ja mekanismit rekisteröidyn oikeuksien käyttämistä varten

1.  Rekisterinpitäjän on vahvistettava menettelyt 14 artiklassa tarkoitettujen tietojen toimittamista sekä 13 artiklassa ja 15–19 artiklassa tarkoitettujen rekisteröidyn oikeuksien käyttämistä varten. Rekisterinpitäjän on laadittava erityisesti mekanismit, joiden avulla helpotetaan 13 artiklassa ja 15–19 artiklassa tarkoitettujen toimien pyytämistä. Jos henkilötietojen käsittely on automatisoitu, rekisterinpitäjän on tarjottava keinot esittää tällaiset pyynnöt mahdollisuuksien mukaan sähköisesti.

2.  Rekisterinpitäjän on ilmoitettava rekisteröidylle viipymättä ilman aiheetonta viivytystä ja viimeistään kuukauden 40 kalenteripäivän kuluttua pyynnön esittämisestä, onko 13 artiklan ja 15–19 artiklan nojalla toteutettu toimenpiteitä, ja toimitettava pyydetyt tiedot. Tätä määräaikaa voidaan pidentää kuukaudella, jos useat rekisteröidyt käyttävät oikeuksiaan ja heidän on tehtävä kohtuullisessa määrin yhteistyötä, jotta voidaan välttää rekisterinpitäjän tarpeeton ja suhteeton rasittaminen. Tiedot on annettava kirjallisesti ja, mikäli mahdollista, rekisterinpitäjä voi tarjota etäpääsyn suojattuun järjestelmään, jossa rekisteröity saa henkilötietonsa suoraan käyttöönsä. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

3.  Jos rekisterinpitäjä kieltäytyy toteuttamasta ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava rekisteröidylle kieltäytymisen toteuttamatta jättämisen syyt ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

4.  Edellä 1 kohdassa tarkoitetut tiedot ja pyyntöjen perusteella toteutettavat toimet ovat maksuttomia. Jos pyynnöt ovat ilmeisen kohtuuttomia ja etenkin jos pyyntöjä esitetään toistuvasti, rekisterinpitäjä voi periä kohtuullisen maksun ottaen huomioon tietojen toimittamisesta tai pyydetyn toimen suorittamisesta tai jättää pyydetyn toimen suorittamatta aiheutuneet hallinnolliset kustannukset. Siinä tapauksessa rekisterinpitäjän on todistettava pyyntöjen kohtuuttomuus.

5.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 4 kohdassa tarkoitettuja ilmeisen kohtuuttomia pyyntöjä ja maksuja koskevat kriteerit ja edellytykset.

6.  Komissio voi laatia vakiolomakkeet ja ‑menettelyt 2 kohdassa tarkoitettua viestintää varten, myös silloin kun se tapahtuu sähköisesti. Tässä yhteydessä komissio toteuttaa tarvittavat toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 107]

13 artikla

Tietojen vastaanottajien oikeudet Oikaisuja ja poistoja koskeva ilmoitusvelvollisuus

Rekisterinpitäjän on ilmoitettava kaikenlaisista 16 ja 17 artiklan mukaisesti tehdyistä oikaisuista tai poistoista jokaiselle vastaanottajalle, jolle tietoja on luovutettu siirretty, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity pyytää sitä. [tark. 108]

13 a artikla

Yhdenmukaistettu tiedotuspolitiikka

1.  Rekisteröityä koskevia henkilötietoja kerättäessä rekisterinpitäjän on toimitettava rekisteröidylle seuraavat yksityiskohtaiset tiedot ennen tietojen antamista 14 artiklan mukaisesti:

a)  kerätäänkö henkilötietoja suurempia määriä kuin on välttämätöntä käsittelyn tietyn käsittelytarkoituksen toteuttamiseksi,

b)  säilytetäänkö henkilötietoja kauemmin kuin on välttämätöntä käsittelyn jokaisen tarkoituksen toteuttamiseksi,

c)  käsitelläänkö henkilötietoja muita kuin niitä tarkoituksia varten, joita varten ne kerättiin,

d)  jaetaanko henkilötietoja kaupallisille yrityksille,

e)  myydäänkö tai vuokrataanko henkilötietoja,

f)  säilytetäänkö henkilötietoja suojatussa muodossa.

2.  Edellä 1 kohdassa tarkoitetut yksityiskohtaiset tiedot esitetään tämän asetuksen liitteen mukaisesti riveihin järjestetyssä taulukkomuodossa käyttäen tekstiä ja symboleja seuraavissa kolmessa sarakkeessa:

a)  ensimmäisessä sarakkeessa esitetään näitä tietoja symboloivia graafisia muotoja,

b)  toisessa sarakkeessa annetaan näitä tietoja koskevaa olennaista tietoa,

c)  kolmannessa sarakkeessa esitetään graafisia muotoja, joista ilmenee, onko tietty yksityiskohta täytetty.

3.  Edellä 1 ja 2 kohdassa tarkoitetut tiedot on esitettävä helposti erottuvalla ja selvästi luettavissa olevalla tavalla käyttäen kieltä, joka on helposti ymmärrettävissä niiden jäsenvaltioiden kuluttajien kannalta, joille tieto on tarkoitettu. Jos tiedot esitetään sähköisesti, niiden on oltava koneellisesti luettavia.

4.  Muita yksityiskohtaisia tietoja ei esitetä. Edellä 1 kohdassa tarkoitettuja yksityiskohtaisia tietoja koskevia tarkkoja selvityksiä tai lisähuomautuksia voidaan antaa muiden 14 artiklan mukaisten tietovaatimuksien yhteydessä.

5.  Siirretään komissiolle valta antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitetut yksityiskohtaiset tiedot ja niiden esittäminen, jotka on määritelty 2 kohdassa ja tämän asetuksen liitteessä. [tark. 109]

2 JAKSO

ILMOITTAMINEN JA TIEDONSAANTI

14 artikla

Rekisteröidylle ilmoittaminen

1.  Rekisteröityä koskevia henkilötietoja kerättäessä rekisterinpitäjän on toimitettava rekisteröidylle ainakin seuraavat tiedot, kun 13 a artiklan mukaiset yksityiskohtaiset tiedot on annettu:

a)  rekisterinpitäjän ja tämän mahdollisen edustajan sekä tietosuojavastaavan henkilöllisyys ja yhteystiedot;

b)  henkilötietojen käsittelyn tarkoitukset sekä tietoa henkilötietojen käsittelyn turvallisuudesta, mukaan lukien sopimusmääräykset ja yleiset sopimusehdot, jos käsittely perustuu 6 artiklan 1 kohdan b alakohtaan, ja rekisterinpitäjän oikeutetut edut, jos käsittely perustuu tarvittaessa tiedot, miten niissä pannaan täytäntöön 6 artiklan 1 kohdan f alakohtaan alakohdan vaatimuksia ja miten vaatimukset täyttyvät;

c)  henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

d)  rekisteröidyn oikeus pyytää häntä itseään koskevia henkilötietoja rekisterinpitäjältä sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista tai vastustaa niiden käsittelyä taikka saada tietoja;

e)  oikeus tehdä valitus valvontaviranomaiselle ja viranomaisen yhteystiedot;

f)  henkilötietojen vastaanottajat tai vastaanottajaryhmät;

g)  tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää tietoja kolmanteen maahan tai kansainväliselle järjestölle, ja kyseisen kolmannen maan tai kansainvälisen järjestön tarjoaman tieto tietosuojan taso tietosuojan riittävyyttä koskevan komission päätöksen perusteella olemassaolosta tai puuttumisesta, tai jos kyseessä on 42 tai 43 artiklassa tarkoitettu siirto, tieto asianmukaisista takeista ja siitä, miten niistä saa jäljennöksen;

g a)  tarvittaessa tieto profiloinnista, profilointiin perustuvista toimenpiteistä ja arvio profiloinnin vaikutuksista rekisteröityyn;

g b)  merkitykselliset tiedot mihin tahansa automatisoituun käsittelyjärjestelmään liittyvästä logiikasta;

h)  muut tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi, ottaen huomioon henkilötietojen keräämisen tai käsittelyn erityiset olosuhteet ja erityisesti sellaisten käsittelytoimien olemassaolo, jotka on osoitettu potentiaalisesti erittäin riskialttiiksi henkilötietoja koskevissa vaikutustenarvioinneissa;

h a)  tarvittaessa tieto siitä, onko henkilötietoja toimitettu viranomaisille edeltävän 12 kuukauden ajanjakson aikana.

2.  Jos henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle 1 kohdassa tarkoitettujen tietojen lisäksi, onko henkilötietojen antaminen pakollista vai vapaaehtoista, sekä tietojen antamatta jättämisen mahdolliset seuraukset.

2 a.  Rekisterinpitäjien on otettava huomioon kaikki asiaankuuluvat ohjeet 34 artiklan mukaisesti, kun ne päättävät lisätiedoista, joita tarvitaan, jotta käsitteleminen olisi asianmukaista 1 kohdan h alakohdan mukaisesti.

3.  Jos henkilötietoja ei kerätä rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle 1 kohdassa tarkoitettujen tietojen lisäksi, mistä kyseiset henkilötiedot on saatu. Jos tiedot ovat peräisin yleisesti saatavilla olevista lähteistä, voidaan esittää yleinen maininta.

4.  Rekisterinpitäjän on toimitettava 1, 2 ja 3 kohdassa tarkoitetut tiedot

a)  silloin kun rekisteröidyltä saadaan henkilötietoja tai ilman aiheetonta viivytystä, kun edellä mainittu ei ole mahdollista; tai

a a)  73 artiklassa tarkoitetun elimen, järjestön tai yhdistyksen pyynnöstä; tai

b)  jos henkilötietoja ei kerätä rekisteröidyltä, silloin kun tietoja tallennetaan tai kohtuullisen ajan kuluttua tietojen keräämisestä, ottaen huomioon tietojen keräämiseen tai käsittelyyn liittyvät erityiset olosuhteet, tai, jos tietoja on tarkoitus luovuttaa siirtää toiselle vastaanottajalle, ja viimeistään silloin kun tietoja luovutetaan siirretään ensimmäisen kerran tai, jos tietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran; tai

b a)  ainoastaan pyynnöstä, jos pien- tai mikroyritys käsittelee henkilötietoja ainoastaan aputoimintona.

5.  Edellä olevaa 1–4 kohtaa ei sovelleta, jos

a)  rekisteröity on jo saanut 1, 2 ja 3 kohdassa tarkoitetut tiedot; tai

b)  tietoja käsitellään historiantutkimukseen taikka tilastolliseen tai tieteelliseen tutkimukseen liittyvissä tarkoituksissa, joihin sovelletaan 81 ja 83 artiklassa mainittuja edellytyksiä ja takeita, tietoja ei kerätä rekisteröidyltä ja kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa ja rekisterinpitäjä on julkaissut tiedot kaikkien saataville; tai

c)  tietoja ei kerätä rekisteröidyltä ja niiden tallentamisesta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjää sitovassa laissa, jossa säädetään asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojelemiseksi henkilötietojen käsittelyyn ja luonteeseen liittyviltä riskeiltä; tai

d)  tietoja ei kerätä rekisteröidyltä ja kyseisten tietojen toimittaminen vaikuttaisi muille luonnollisille henkilöille kuuluviin oikeuksiin ja vapauksiin sellaisina kuin ne määritellään unionin tai jäsenvaltion lainsäädännössä 21 artiklan mukaisesti; tai

d a)  tietoja käsittelee ammattiaan harjoittaessaan henkilö, jota koskee unionin tai jäsenvaltion lainsäädäntöön perustuva ammatillinen vaitiolovelvollisuus tai lakisääteinen salassapitovelvollisuus tai tiedot uskotaan tällaiselle henkilölle tai ne tulevat tällaisen henkilön tietoon, paitsi jos tietoja kerätään suoraan rekisteröidyltä.

6.  Edellä olevan 5 kohdan b alakohdassa tarkoitetussa tapauksessa rekisterinpitäjän on toteutettava tarvittavat toimenpiteet rekisteröidyn oikeuksien tai oikeutettujen etujen suojaamiseksi.

7.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan f alakohdassa tarkoitettuja tietojen vastaanottajaryhmiä koskevat kriteerit, 1 kohdan g alakohdassa tarkoitettua mahdollista tiedonsaantia koskevaa ilmoitusta koskevat vaatimukset, 1 kohdan h alakohdassa tarkoitettuja, erityisaloilla ja ‑tilanteissa tarvittavia lisätietoja koskevat kriteerit ja 5 kohdan b alakohdassa säädettyjä poikkeuksia koskevat edellytykset ja asianmukaiset takeet. Tässä yhteydessä komissio toteuttaa tarvittavat toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

8.  Komissio voi laatia vakiolomakkeet 1–3 kohdassa tarkoitettujen tietojen toimittamista varten, ottaen tarvittaessa huomioon eri alojen ja tietojenkäsittelytilanteiden erityisominaisuudet ja tarpeet. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 110]

15 artikla

Rekisteröidyn tiedonsaantioikeus

1.  Jollei 12 artiklan 4 kohdasta muuta johdu, rekisteröidyllä on oikeus saada rekisterinpitäjältä pyynnöstä milloin tahansa vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä. Jos henkilötietoja käsitellään, rekisterinpitäjän on annettava, ja selkeällä ja yksinkertaisella kielellä seuraavat tiedot:

a)  kunkin henkilötietojen ryhmän käsittelyn tarkoitukset;

b)  kyseessä olevat henkilötietojen ryhmät;

c)  vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa, erityisesti mukaan lukien kolmansissa maissa olevat vastaanottajat;

d)  henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e)  tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan rekisteröityä koskevat tiedot tai vastustaa niiden käsittelyä;

f)  tieto siitä, että rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, ja viranomaisen yhteystiedot;

g)  käsiteltävät henkilötiedot ja kaikki tietojen alkuperästä käytettävissä olevat tiedot;

h)  käsittelyn merkitys ja mahdolliset seuraukset ainakin 20 artiklassa tarkoitettujen toimenpiteiden osalta;

h a)  merkitykselliset tiedot mihin tahansa automatisoituun käsittelyjärjestelmään liittyvästä logiikasta;

h b)  viranomaisen pyynnön seurauksena tapahtuvan henkilötietojen luovuttamisen sattuessa vahvistus siitä, että pyyntö on tehty, sanotun kuitenkaan rajoittamatta 21 artiklan soveltamista.

2.  Rekisteröidyllä on oikeus saada rekisterinpitäjältä käsiteltävänä olevat henkilötiedot. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti sähköisessä ja jäsennellyssä muodossa, paitsi jos rekisteröity toisin pyytää. Rekisterinpitäjän on toteutettava kaikki kohtuulliset toimenpiteet tarkistaakseen, että tietoja pyytänyt henkilö on kyseinen rekisteröity, sanotun kuitenkaan rajoittamatta 10 artiklan soveltamista.

2 a.  Jos rekisteröity on itse antanut henkilötiedot ja jos henkilötietoja käsitellään sähköisesti, rekisteröidyllä on oikeus saada rekisterinpitäjältä jäljennös toimitetuista henkilötiedoista yleisesti käytetyssä sähköisessä ja yhteentoimivassa muodossa, joka antaa rekisteröidylle mahdollisuuden käyttää tietoja edelleen, sen rekisterinpitäjän estämättä, jonka hallusta henkilötiedot poistetaan. Tiedot siirretään rekisterinpitäjältä suoraan rekisterinpitäjälle rekisteröidyn pyynnöstä, jos se on teknisesti mahdollista ja käytettävissä.

2 b.  Tämä artikla ei saa rajoittaa 5 artiklan 1 kohdan e alakohdassa säädettyä velvoitetta poistaa tietoja sen jälkeen, kun niitä ei enää tarvita.

2 c.  Edellä 1 ja 2 kohdan mukaista tiedonsaantioikeutta ei ole, kun kyse on 14 artiklan 5 kohdan d a alakohdassa tarkoitetuista tiedoista, paitsi jos rekisteröidyllä on valtuudet poistaa kyseinen salassapitovelvoite ja hän toimii sen mukaisesti.

3.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan g alakohdassa tarkoitettuun henkilötietojen toimittamiseen rekisteröidylle liittyvät kriteerit ja vaatimukset.

4.  Komissio voi laatia vakiolomakkeet ja ‑menettelyt 1 kohdassa tarkoitettujen tietojen pyytämistä ja toimittamista varten, mukaan lukien rekisteröidyn henkilöllisyyden todentaminen ja henkilötietojen toimittaminen rekisteröidylle, ottaen huomioon eri alojen ja tietojenkäsittelytilanteiden erityisominaisuudet ja tarpeet. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 111]

3 JAKSO

TIETOJEN OIKAISEMINEN JA POISTAMINEN

16 artikla

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee rekisteröityä koskevat virheelliset henkilötiedot. Rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, erityisesti oikaisun avulla.

17 artikla

Oikeus tulla unohdetuksi ja poistaa tiedot

1.  Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä poistaa rekisteröityä koskevat henkilötiedot ja pidättyy näiden tietojen edelleen luovuttamisesta , etenkin kun kyseessä ovat henkilötiedot, jotka rekisteröity on asettanut saataville lapsena, ja että kolmannet osapuolet poistavat kaikki linkit kyseisiin tietoihin tai niiden jäljennökset tai kopiot, edellyttäen että jokin seuraavista perusteista täyttyy:

a)  tietoja ei enää tarvita niiden tarkoitusten toteuttamista varten, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

b)  rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan mukaisesti, tai suostumuksen kohteena ollut säilytysaika on päättynyt eikä tietojenkäsittelyyn ole muuta laillista perustetta;

c)  rekisteröity vastustaa henkilötietojen käsittelyä 19 artiklan nojalla;

c a)  unionissa sijaitseva tuomioistuin tai sääntelyviranomainen on tehnyt lainvoimaisen ratkaisun kyseisten tietojen poistamisesta;

d)  tietojenkäsittely ei muista syistä ole tämän asetuksen mukaista tietoja on käsitelty lainvastaisesti.

1 a.  Edellä 1 kohtaa sovelletaan vain, jos rekisterinpitäjä voi tarkistaa, että tietojen poistamista pyytänyt henkilö on kyseinen rekisteröity.

2.  Jos 1 kohdassa tarkoitettu rekisterinpitäjä on julkistanut tiedot ilman 6 artiklan 1 kohtaan perustuvaa perustetta, sen on toteutettava julkistamiensa tietojen osalta kaikki kohtuulliset toimenpiteet, mukaan lukien tekniset toimet, ilmoittaakseen näitä tietoja käsitteleville kolmansille osapuolille, että rekisteröity pyytää niitä poistamaan kyseisiin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot. Jos rekisterinpitäjä on valtuuttanut kolmannen osapuolen julkistamaan henkilötietoja, rekisterinpitäjän katsotaan olevan vastuussa julkaisemisesta. tietojen poistamiseksi, myös kolmansien osapuolten toimesta, sanotun kuitenkaan rajoittamatta 77 artiklan soveltamista. Rekisterinpitäjän on mahdollisuuksien mukaan ilmoitettava rekisteröidylle kyseisten kolmansien osapuolten toteuttamista toimista.

3.  Rekisterinpitäjän ja tarvittaessa kolmannen osapuolen on poistettava henkilötiedot viipymättä, paitsi jos niiden säilyttäminen on tarpeen

a)  sananvapautta koskevan oikeuden käyttämiseksi 80 artiklan mukaisesti;

b)  kansanterveyteen liittyvää yleistä etua koskevista syistä 81 artiklan mukaisesti;

c)  historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten 83 artiklan mukaisesti;

d)  unionin tai jäsenvaltion lainsäädäntöön perustuvan, henkilötietojen tallentamista koskevan rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi; jäsenvaltioiden lainsäädännön on oltava yleistä etua koskevan tavoitteen mukainen, noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja oltava tavoiteltuun päämäärään nähden oikeasuhteinen;

e)  edellä 4 kohdassa tarkoitetuissa tapauksissa.

4.  Tietojen poistamisen sijasta rekisterinpitäjän on rajoitettava niiden käsittelyä niin, että niihin ei ole normaalia pääsyä eikä niihin sovelleta käsittelytoimia eikä niitä enää voi muuttaa, jos

a)  rekisteröity kiistää tietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;

b)  rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja tehtäviensä suorittamiseen, mutta ne on säilytettävä todistelua varten;

c)  käsittely on lainvastaista ja rekisteröity vastustaa tietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;

c a)  unionissa sijaitseva tuomioistuin tai sääntelyviranomainen on tehnyt lainvoimaisen ratkaisun kyseisen käsittelyn rajoittamisesta;

d)  rekisteröity haluaa siirtää henkilötietonsa toiseen automatisoituun käsittelyjärjestelmään 18 15 artiklan 2 2 a kohdan mukaisesti.

d a)  kyseinen säilytystekniikka ei mahdollista poistamista ja on asennettu ennen tämän asetuksen voimaantuloa.

5.  Edellä 4 kohdassa tarkoitettuja henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan todistelua varten tai rekisteröidyn suostumuksella tai toisen luonnollisen tai oikeushenkilön oikeuksien suojaamiseksi tai yleistä etua koskevan tavoitteen vuoksi.

6.  Jos henkilötietojen käsittelyä on rajoitettu 4 kohdan nojalla, rekisterinpitäjän on ilmoitettava rekisteröidylle, ennen kuin käsittelyä koskeva rajoitus poistetaan.

7.  Rekisterinpitäjän on toteutettava mekanismit, joiden avulla voidaan varmistaa, että henkilötietojen poistamista ja/tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten asetettuja määräaikoja noudatetaan.

8.  Jos henkilötiedot on poistettu, rekisterinpitäjä ei saa enää muutoin käsitellä kyseisiä henkilötietoja.

8 a.  Rekisterinpitäjän on toteutettava mekanismit, joiden avulla voidaan varmistaa, että henkilötietojen poistamista ja/tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten asetettuja määräaikoja noudatetaan.

9.  Siirretään komissiolle valta antaa Euroopan tietosuojaneuvostolta pyydetyn lausunnon jälkeen 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin:

a)  1 kohdan soveltamista koskevat kriteerit ja vaatimukset eri aloja ja erilaisia tietojenkäsittelytilanteita varten;

b)  edellytykset henkilötietoihin liittyvien linkkien sekä tietojen kopioiden ja jäljennösten poistamiseksi 2 kohdassa tarkoitetuista julkisesti saatavilla olevista viestintäpalveluista;

c)  kriteerit ja edellytykset 4 kohdassa tarkoitettujen henkilötietojen käsittelyn rajoittamista varten. [tark. 112]

18 artikla

Oikeus siirtää tiedot järjestelmästä toiseen

1.  Kun henkilötietoja käsitellään sähköisin keinoin, jäsennellyssä ja yleisesti käytetyssä muodossa, rekisteröidyllä on oikeus saada rekisterinpitäjältä jäljennös käsiteltävistä tiedoista yleisesti käytetyssä sähköisessä ja jäsennellyssä muodossa, joka antaa rekisteröidylle mahdollisuuden käyttää tietoja edelleen.

2.  Kun rekisteröity on itse antanut henkilötiedot ja niiden käsittely perustuu suostumukseen tai sopimukseen, rekisteröidyllä on oikeus siirtää kyseiset henkilötiedot ja kaikki muut rekisteröidyn itsensä antamat, automatisoituun käsittelyjärjestelmään tallennetut tiedot toiseen järjestelmään, yleisesti käytetyssä sähköisessä muodossa, sen rekisterinpitäjän estämättä, jonka hallusta henkilötiedot poistetaan.

3.  Komissio voi täsmentää 1 kohdassa tarkoitetun sähköisen muodon ja vahvistaa tekniset standardit, yksityiskohtaiset säännöt ja menettelyt henkilötietojen siirtämiseksi 2 kohdan nojalla. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 113]

4 JAKSO

OIKEUS VASTUSTAA HENKILÖTIETOJEN KÄSITTELYÄ JA PROFILOINTI

19 artikla

Oikeus vastustaa henkilötietojen käsittelyä

1.  Rekisteröidyllä on oikeus henkilökohtaisen tilanteensa perusteella milloin tahansa vastustaa henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan d, ja e ja f alakohtaan, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa pakottava perusteltu syy, joka syrjäyttää rekisteröidyn edut tai perusoikeudet ja ‑vapaudet.

2.  Jos henkilötietoja käsitellään suoramarkkinointia varten henkilötietojen käsittely perustuu 6 artiklan 1 kohdan f alakohtaan, rekisteröidyllä on oikeus vastustaa maksutta henkilötietojensa käsittelyä tällaista markkinointia varten. Tätä oikeutta on tarjottava rekisteröidylle nimenomaisesti ja ymmärrettävällä tavalla, selkeästi muusta tiedotuksesta erillään yleisesti ottaen tai johonkin tiettyyn tarkoitukseen.

2 a.   Edellä 2 kohdassa tarkoitettua oikeutta on tarjottava rekisteröidylle nimenomaisesti, ymmärrettävällä tavalla ja ymmärrettävässä muodossa sekä selkeällä ja yksinkertaisella kielellä, etenkin jos tiedot on suunnattu erityisesti lapselle, ja selkeästi muusta tiedotuksesta erillään.

2 b.  Tietoyhteiskunnan palvelujen käyttämisen yhteydessä ja sen estämättä, mitä direktiivissä 2002/58/EY määrätään, oikeutta vastustaa voidaan käyttää automaattisesti yleisesti pätevän teknisen standardin avulla, joka antaa rekisteröidylle mahdollisuuden ilmaista selkeästi tahtonsa.

3.  Jos vastustus hyväksytään 1 ja 2 kohdan nojalla, rekisterinpitäjä ei saa enää käyttää tai muutoin käsitellä kyseisiä henkilötietoja. [tark. 114]

20 artikla

Profilointiin perustuvat toimenpiteet Profilointi

1.  Jokaisella luonnollisella henkilöllä on oikeus olla joutumatta sellaisen toimenpiteen kohteeksi, joka aiheuttaa hänelle oikeusvaikutuksia tai vaikuttaa häneen merkittävällä tavalla ja joka on tehty ainoastaan automaattisen tietojenkäsittelyn perusteella hänen tiettyjen henkilökohtaisten ominaisuuksiensa arvioimista tai erityisesti hänen ammatillisen suorituskykynsä, taloudellisen tilanteensa, sijaintinsa, terveytensä, henkilökohtaisten mieltymystensä, luotettavuutensa tai käyttäytymisensä analysoimista tai ennakoimista varten vastustaa profilointia 19 artiklan mukaisesti, sanotun kuitenkaan rajoittamatta 6 artiklan soveltamista. Rekisteröidylle ilmoitetaan selkeästi havaittavalla tavalla oikeudesta vastustaa profilointia..

2.  Ellei tässä asetuksessa muuta säädetä, henkilöön voidaan kohdistaa 1 kohdassa tarkoitetun kaltainen toimenpide profilointia, joka johtaa toimenpiteisiin, jotka aiheuttavat rekisteröidylle oikeusvaikutuksia, tai vaikuttaa vastaavan merkittävästi rekisteröidyn etuihin, oikeuksiin tai vapauksiin, vain jos tietojenkäsittely

a)  suoritetaan on välttämätöntä sopimuksen tekemisen tai täytäntöönpanon yhteydessä tekemiseksi tai täytäntöönpanemiseksi, sillä edellytyksellä, että rekisteröidyn esittämä sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö on täytetty tai että on toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi, kuten oikeus siihen, että tietojen käsittelyyn osallistuu ihminen; tai

b)  on nimenomaisesti hyväksytty unionin tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

c)  perustuu rekisteröidyn suostumukseen, edellyttäen että 7 artiklassa säädetyt edellytykset täyttyvät ja että asianmukaiset takeet on annettu.

3.  Henkilötietojen automaattinen käsittely, jonka tarkoituksena on arvioida luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, Profilointi, jonka seurauksena henkilöitä syrjitään rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, seksuaalisen suuntautumisen tai sukupuoli-identiteetin perusteella tai jonka seurauksena toteutetaan toimenpiteitä, joilla on tällaisia seurauksia, on kielletty. Rekisterinpitäjän on toteutettava tehokkaita suojelutoimia profiloinnista mahdollisesti aiheutuvaa syrjintää vastaan. Profilointi ei saa perustua pelkästään 9 artiklassa tarkoitettuihin erityisiin henkilötietojen ryhmiin.

4.  Tiedoissa, jotka rekisterinpitäjän on toimitettava 14 artiklan nojalla, on 2 kohdassa tarkoitetuissa tapauksissa mainittava, onko tietoja käsitelty 1 kohdassa tarkoitetun kaltaista toimenpidettä varten, ja arvioitava tällaisen käsittelyn vaikutuksia rekisteröityyn.

5.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset Profilointi, jolla on rekisteröityä koskevia oikeusvaikutuksia tai vaikuttaa vastaavan merkittävästi rekisteröidyn etuihin, oikeuksiin tai vapauksiin, ei saa perustua yksinomaan tai pääosin automaattiseen tietojenkäsittelyyn ja siihen on sisällyttävä ihmisen tekemä arvio, oikeus saada selitys tämän arvion jälkeen tehdystä päätöksestä mukaan luettuna. Asianmukaisia toimenpiteitä rekisteröidyn 2 kohdassa tarkoitettujen rekisteröidyn oikeutettujen etujen suojaamiseksi annettavia asianmukaisia toimenpiteitä varten ovat muun muassa oikeus ihmisen tekemään arvioon ja oikeus saada selitys tämän arvion jälkeen tehdystä päätöksestä.

5 a.  Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan 1 kohdan b alakohdan mukaisesti, jotta voidaan määritellä tarkemmin profilointia koskevat kriteerit ja edellytykset 2 kohdan mukaisesti. [tark. 115]

5 JAKSO

RAJOITUKSET

21 artikla

Rajoitukset

1.  Unionin tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 5 artiklan a–e alakohdassa sekä 11–19 artiklassa ja 32 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos tällaiset rajoitukset ovat selkeästi määritellyn yleistä etua koskevan tavoitteen mukaisia, niissä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan, ne ovat tavoiteltuun päämäärään nähden oikeasuhteisia, niissä kunnioitetaan rekisteröidyn perusoikeuksia ja etuja ja ne ovat demokraattisessa yhteiskunnassa välttämättömiä ja oikeasuhteisia toimenpiteitä, jotta voidaan taata

a)  yleinen turvallisuus;

b)  rikosten torjuminen, tutkiminen, selvittäminen ja syytteeseenpano;

c)  muut unionin tai jäsenvaltion yleiset edut, erityisesti jäsenvaltiolle tai Euroopan unionille tärkeä taloudellinen tai rahoituksellinen etu, myös rahaa, talousarviota ja verotusta sekä markkinoiden vakauden ja eheyden suojaamista koskevissa asioissa koskevat asiat;

d)  säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomusten torjuminen, tutkiminen, selvittäminen ja syytteeseenpano;

e)  valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen toimivaltaisen viranomaisen vallan käyttämiseen käytön yhteydessä a–d alakohdassa tarkoitetuissa tapauksissa;

f)  rekisteröidyn tai muille kuuluvien oikeuksien ja vapauksien suojelu.

2.  Edellä 1 kohdassa tarkoitettujen säädösten on oltava välttämättömiä ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä ja niiden on sisällettävä erityisesti säännökset, jotka koskevat ainakin käsittelyn tavoitteita ja rekisterinpitäjän määrittämistä.

a)  käsittelyn tavoitteita;

b)   rekisterinpitäjän määrittämistä;

c)  tietojenkäsittelyn erityisiä tarkoituksia ja keinoja;

d)  suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen;

e)  rekisteröityjen oikeutta saada tietoa rajoituksesta.tetään hyväksikäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen;

2 a.  Edellä 1 kohdassa tarkoitetuilla lainsäädäntötoimilla ei pidä sallia eikä velvoittaa sitä, että yksityiset rekisterinpitäjät säilyttävät muita kuin alkuperäiseen tarkoitukseen välttämättömiä tietoja. [tark. 116]

IV LUKU

REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ

1 JAKSO

YLEISET VELVOLLISUUDET

22 artikla

Rekisterinpitäjän vastuu ja tilivelvollisuus

1.  Rekisterinpitäjän on hyväksyttävä asianmukaiset toimintamenetelmät ja toteutettava tarvittavat todennettavissa olevat tekniset ja organisatoriset toimenpiteet sen varmistamiseksi ja osoittamiseksi läpinäkyvästi, että henkilötietojen käsittelyssä noudatetaan tätä asetusta ottaen huomioon uusin tekniikka, henkilötietojen käsittelyn luonne, käsittelyn konteksti, laajuus ja tarkoitukset, rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit ja kyseessä olevan organisaation tyyppi sekä käsittelykeinojen määrittämisen että itse käsittelyn yhteydessä.

1 a.  Rekisterinpitäjän on toteutettava uusin tekniikka ja toteuttamiskustannukset huomioon ottaen kaikki kohtuulliset toimenpiteet sellaisten vaatimuksenmukaisuutta koskevien toimintamenetelmien ja ‑menettelyjen toteuttamiseksi, joissa kunnioitetaan jatkuvasti rekisteröityjen itsenäisiä valintoja. Näitä vaatimuksenmukaisuutta koskevia toimintamenetelmiä tarkastellaan uudelleen vähintään kahden vuoden välein ja päivitetään tarvittaessa.

2.  Edellä 1 kohdassa tarkoitettuja toimenpiteitä ovat erityisesti seuraavat:

a)  jäljempänä 28 artiklassa tarkoitettujen asiakirjojen säilyttäminen;

b)  jäljempänä 30 artiklassa vahvistettujen tietoturvallisuutta koskevien vaatimusten täytäntöönpano;

c)  jäljempänä 33 artiklassa tarkoitetun tietosuojaa koskevan vaikutustenarvioinnin laatiminen;

d)  valvontaviranomaisen ennakkohyväksyntää tai ennakkokuulemista koskevien vaatimusten noudattaminen 34 artiklan 1 ja 2 kohdan mukaisesti;

e)  tietosuojavastaavan nimittäminen 35 artiklan 1 kohdan nojalla.

3.  Rekisterinpitäjän on toteutettava mekanismit sen varmistamiseksi, että voitava osoittaa 1 ja 2 kohdassa tarkoitettujen toimenpiteiden riittävyys ja tehokkuus tarkistetaan. Tarkistamisen suorittavat riippumattomat sisäiset tai ulkoiset tarkastajat, mikäli se on oikeasuhteista. Jokaiseen rekisterinpitäjän toimintaa koskevaan yleiseen määräaikaiskertomukseen, kuten avoimien yhtiöiden pakollisiin kertomuksiin, on sisällytettävä yhteenveto 1 kohdassa tarkoitetuista toimintamenetelmistä ja toimenpiteistä.

3 a.  Rekisterinpitäjällä on oikeus siirtää henkilötietoja unionissa sen yritysryhmän sisällä, johon rekisterinpitäjä kuuluu, jos käsittely on välttämätöntä oikeutettujen sisäisten hallinnollisten tarkoitusten vuoksi yritysryhmän toisiinsa liittyvien liiketoiminta-alojen välillä ja jos tietosuojan riittävä taso ja rekisteröityjen edut varmistetaan sisäisillä tietosuojasäännöillä tai vastaavilla 38 artiklan mukaisilla käytännesäännöillä.

4.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitettuja, muita kuin 2 kohdassa jo tarkoitettuja asianmukaisia toimenpiteitä koskevat kriteerit ja vaatimukset, 3 kohdassa tarkoitettuja tarkistusmekanismeja koskevat edellytykset ja 3 kohdassa tarkoitettua oikeasuhteisuutta koskevat kriteerit, ottaen huomioon erityiset toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi. [tark. 117]

23 artikla

Sisäänrakennettu ja oletusarvoinen tietosuoja

1.  Rekisterinpitäjän ja mahdollisen henkilötietojen käsittelijän on sekä käsittelytarkoitusten että käsittelykeinojen määrittämisen että itse käsittelyn yhteydessä toteutettava asianmukaiset ja oikeasuhteiset tekniset ja organisatoriset toimenpiteet ja menettelyt uusin tekniikka, nykyinen tekninen tietämys, kansainväliset parhaat käytännöt ja toteuttamiskustannukset tietojenkäsittelyyn liittyvät riskit huomioon ottaen siten, että käsittely vastaa tämän asetuksen vaatimuksia ja takaa rekisteröidyn oikeuksien suojelun, erityisesti 5 artiklassa säädetyt periaatteet huomioon ottaen. Sisäänrakennetussa tietosuojassa on otettava erityisesti huomioon henkilötietojen elinkaaren hallinta niiden keräämisestä ja käsittelystä poistamiseen saakka, ja siinä on keskityttävä järjestelmällisesti henkilötietojen paikkansapitävyyttä, luottamuksellisuutta, eheyttä, fyysistä turvallisuutta ja poistamista koskeviin kattaviin menettelytakeisiin. Jos rekisterinpitäjä on tehnyt 33 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin, sen tulokset on otettava huomioon näiden toimenpiteiden ja menettelyjen kehittämisessä.

1 a.  Sisäänrakennetun tietosuojan on oltava edellytys Euroopan parlamentin ja neuvoston direktiivin 2004/18/EY(16) sekä Euroopan parlamentin ja neuvoston direktiivin 2004/17/EY(17) (erityisalojen hankintadirektiivi) mukaisille julkisille tarjouskilpailuille, jotta sen laajamittaista täytäntöönpanoa edistetään talouden eri aloilla.

2.  Rekisterinpitäjän on otettava käyttöön keinot sen varmistamiseksi varmistettava, että käsittely koskee oletusarvoisesti vain niitä henkilötietoja, jotka ovat välttämättömiä tietyn käsittelytarkoituksen kannalta, ja että tietoja ei erikseen kerätä, eikä säilytetä tai jaeta suurempia määriä eikä kauemmin kuin on välttämätöntä kyseisten tarkoitusten toteuttamiseksi. Näiden keinojen avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ja että rekisteröidyt voivat valvoa henkilötietojensa jakelua.

3.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja asianmukaisia toimenpiteitä koskevat kriteerit ja vaatimukset ja erityisesti eri aloilla tai eri tuotteisiin ja palveluihin sovellettavat sisäänrakennettua tietosuojaa koskevat vaatimukset.

4.  Komissio voi vahvistaa 1 ja 2 kohdassa säädettyjä vaatimuksia koskevat tekniset standardit. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 118]

24 artikla

Yhteiset rekisterinpitäjät

Jos rekisterinpitäjä määrittää useammat rekisterinpitäjät määrittävät yhdessä henkilötietojen käsittelyn tarkoitukset, edellytykset ja keinot, näiden yhteisten rekisterinpitäjien on keskinäisellä järjestelyllä määritettävä kunkin vastuualue tässä asetuksessa vahvistettujen velvoitteiden mukaisesti, erityisesti niiden menettelyjen ja mekanismien osalta, joiden avulla rekisteröidyt voivat käyttää oikeuksiaan. Tällaisesta järjestelystä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset tehtävät ja suhteet rekisteröityihin nähden, ja järjestelyn keskeisten osien on oltava rekisteröidyn käytettävissä. Jos vastuukysymys on epäselvä, rekisterinpitäjät ovat yhteisvastuullisia. [tark. 119]

25 artikla

Unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien edustajat

1.  Edellä 3 artiklan 2 kohdassa tarkoitetussa tilanteessa rekisterinpitäjän on nimitettävä edustaja unionin aluetta varten.

2.  Tätä velvollisuutta ei sovelleta

a)  rekisterinpitäjään, joka on sijoittautunut sellaiseen kolmanteen maahan, jonka tarjoamaa tietosuojan tasoa komissio pitää riittävänä 41 artiklan mukaisesti; tai

b)  yritykseen, jossa on alle 250 työntekijää rekisterinpitäjään, joka käsittelee henkilötietoja, jotka koskevat alle 5 000:ta rekisteröityä 12 kuukauden jaksolla, eikä käsittele 9 artiklan 1 kohdassa tarkoitettuja erityisiä tietoryhmiä, sijaintitietoja eikä lapsia tai työntekijöitä koskevia tietoja suuren mittakaavan rekisteröintijärjestelmissä; tai

c)  viranomaisiin ja julkishallinnon elimiin; tai

d)  rekisterinpitäjään, joka tarjoaa rekisteröidyille tavaroita tai palveluja unionin alueella asuville rekisteröidyille unionissa vain satunnaisesti, paitsi jos henkilötietojen käsittelyssä on kyse 9 artiklan 1 kohdassa tarkoitetuista erityisistä tietoryhmistä, sijaintitiedoista tai lapsia tai työntekijöitä koskevista tiedoista suuren mittakaavan rekisteröintijärjestelmissä.

3.  Edustajan on oltava sijoittautunut johonkin niistä jäsenvaltioista, joissa asuvat ne rekisteröidyt, joiden henkilötietoja käsitellään heille tarjottavien tavaroiden tai palvelujen vuoksi tai heidän käyttäytymisensä seuraamiseksi se tarjoaa tavaroita tai palveluja rekisteröidyille tai joissa rekisteröityjä seurataan.

4.  Edustajan nimittäminen rekisterinpitäjän toimesta ei rajoita niitä oikeustoimia, jotka voidaan käynnistää rekisterinpitäjää vastaan. [tark. 120]

26 artikla

Henkilötietojen käsittelijä

1.  Jos käsittelytoimi käsittely suoritetaan rekisterinpitäjän lukuun, tämän on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet siitä, että käsittelyyn liittyvät tekniset ja organisatoriset toimet ja menettelyt toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset ja varmistaa rekisteröidyn oikeuksien suojelun, erityisesti suoritettavaa käsittelyä koskevien teknisten turvatoimien ja organisatoristen toimien osalta, ja varmistettava kyseisten toimenpiteiden noudattamisen.

2.  Henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo käsittelijän rekisterinpitäjään. ja jossa erityisesti säädetään Rekisterinpitäjän ja henkilötietojen käsittelijän on voitava vapaasti määritellä kunkin tehtävät tämän asetuksen vaatimuksiin nähden, ja niiden on huolehdittava siitä, että henkilötietojen käsittelijä

a)  toimii käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti, etenkin jos käsiteltäviä henkilötietoja ei saa siirtää jollei unionin tai jäsenvaltion lainsäädännössä toisin määrätä;

b)  ottaa palvelukseen ainoastaan sellaista henkilöstöä, joka on sitoutunut noudattamaan salassapitovelvollisuutta tai jota koskee lakisääteinen salassapitovelvollisuus;

c)  toteuttaa kaikki 30 artiklassa vaaditut toimenpiteet;

d)  käyttää määrittää edellytykset toisen henkilötietojen käsittelijän palveluksia palveluksien käyttämiselle vasta rekisterinpitäjän ennakkohyväksynnän saatuaan, jollei toisin määritellä;

e)  käsittelytoimen luonteen salliessa laatii yhdessä rekisterinpitäjän kanssa tarvittavat asianmukaiset ja asiaankuuluvat tekniset ja organisatoriset vaatimukset, jotta voidaan täyttää rekisterinpitäjän velvollisuus vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;

f)  auttaa rekisterinpitäjää varmistamaan, että 30–34 artiklassa säädettyjä velvollisuuksia noudatetaan, ottaen huomioon käsittelyn luonteen ja tietojen käsittelijän saatavilla olevan tiedon;

g)   luovuttaa palauttaa käsittelyn päätyttyä kaikki tulokset rekisterinpitäjälle eikä enää muutoin käsittele kyseisiä henkilötietoja ja hävittää olemassa olevat jäljennökset, jollei unionin tai jäsenvaltioiden lainsäädännössä edellytetä tietojen säilyttämistä;

h)  toimittaa rekisterinpitäjälle ja valvontaviranomaiselle kaikki tiedot, jotka ovat tarpeen osoittaakseen tässä artiklassa säädettyjen velvollisuuksien noudattamisen valvontaa varten ja sallii tarkastukset paikan päällä.

3.  Rekisterinpitäjän ja henkilötietojen käsittelijän on tallennettava kirjallisesti 2 artiklassa tarkoitetut rekisterinpitäjän antamat ohjeet ja rekisterinpitäjän velvollisuudet.

3 a.  Edellä 1 kohdassa tarkoitetut riittävät takeet voidaan näyttää toteen noudattamalla käytännesääntöjä tai sertifiointimekanismeja asetuksen 38 ja 39 artiklan mukaisesti.

4.  Jos henkilötietojen käsittelijä käsittelee muita kuin rekisterinpitäjän määräämiä henkilötietoja tai jos henkilötietojen käsittelijästä tulee tietojen käsittelyn tarkoitukset ja keinot määrittelevä osapuoli, käsittelijää on pidettävä kyseisen käsittelyn osalta rekisterinpitäjänä ja käsittelijään on sovellettava 24 artiklassa vahvistettuja, yhteisiä rekisterinpitäjiä koskevia sääntöjä.

5.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin henkilötietojen käsittelijän vastuualueita, velvollisuuksia ja tehtäviä koskevat kriteerit ja vaatimukset 1 kohdan mukaisesti, sekä edellytykset, joiden nojalla voidaan helpottaa yritysryhmässä erityisesti seuranta- ja raportointitarkoituksessa suoritettavaa henkilötietojen käsittelyä. [tark. 121]

27 artikla

Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa

Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin tai jäsenvaltion lainsäädännössä niin vaadita.

28 artikla

Asiakirjat

1.  Jokaisen rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on säilytettävä säännöllisesti päivitetyt asiakirjat kaikista vastuullaan tapahtuvista tietojenkäsittelytoimista, jotka ovat tarpeen asetuksessa vahvistettujen vaatimusten täyttämiseksi.

2.  Asiakirjoissa on oltava vähintään Lisäksi kukin rekisterinpitäjä ja henkilötietojen käsittelijä säilyttää asiakirjat, jossa on seuraavat tiedot:

a)  rekisterinpitäjän tai yhteisen rekisterinpitäjän tai henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan nimi ja yhteystiedot;

b)  mahdollisen tietosuojavastaavan nimi ja yhteystiedot;

c)  henkilötietojen käsittelyn tarkoitukset, mukaan lukien rekisterinpitäjän oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;

d)  kuvaus rekisteröityjen ryhmistä ja niihin liittyvistä tietoryhmistä;

e)  henkilötietojen vastaanottajat tai vastaanottajien ryhmät, mukaan lukien ne rekisterinpitäjät niiden mahdollisten rekisterinpitäjien nimi ja yhteystiedot, joille henkilötietoja luovutetaan niiden oikeutettujen etujen vuoksi;

f)  tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia takeita koskevat asiakirjat, jos kyseessä on 44 artiklan 1 kohdan h alakohdassa tarkoitettu siirto;

g)  yleinen maininta eri tietoryhmien poistamisen määräajoista;

h)  kuvaus 22 artiklan 3 kohdassa tarkoitetuista mekanismeista.

3.  Rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyydettäessä esitettävä asiakirjat valvontaviranomaiselle.

4.  Edellä 1 ja 2 kohdassa tarkoitetut velvollisuudet eivät koske seuraavia rekisterinpitäjiä ja henkilötietojen käsittelijöitä:

a)  luonnollinen henkilö, joka käsittelee henkilötietoja ilman kaupallista tarkoitusta; tai

b)  yritys tai organisaatio, jonka palveluksessa on alle 250 työntekijää ja joka käsittelee henkilötietoja ainoastaan pääasiallisen toimintansa aputoimintona.

5.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritetään 1 kohdassa tarkoitettuja asiakirjoja koskevat kriteerit ja vaatimukset, jotta voidaan ottaa huomioon erityisesti rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan vastuualueet.

6.  Komissio voi laatia vakiolomakkeet 1 kohdassa tarkoitettuja asiakirjoja varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 122]

29 artikla

Yhteistyö valvontaviranomaisen kanssa

1.  Rekisterinpitäjän ja mahdollisen henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi, erityisesti antamalla 53 artiklan 2 kohdan a alakohdassa tarkoitetut tiedot ja sallimalla kyseisen kohdan b alakohdassa tarkoitettu pääsy.

2.  Kun valvontaviranomainen käyttää 53 artiklan 2 kohdassa tarkoitettuja valtuuksiaan, rekisterinpitäjän ja henkilötietojen käsittelijän on vastattava valvontaviranomaiselle tämän määrittämän kohtuullisen ajan kuluessa. Vastauksessa on kuvattava toteutetut toimenpiteet ja saavutetut tulokset valvontaviranomaisen huomautusten pohjalta. [tark. 123]

2 JAKSO

TIETOTURVALLISUUS

30 artikla

Käsittelyn turvallisuus

1.  Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen käsittelyn ja suojattavien henkilötietojen luonteeseen liittyviin riskeihin nähden asianmukainen turvallisuustaso, ottaen huomioon 33 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin tulokset sekä uusin tekniikka ja toimenpiteiden toteuttamiskustannukset uusin tekniikka ja toimenpiteiden toteuttamiskustannukset.

1 a.  Ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset näiden turvallisuuskäytäntöjen on katettava:

a)  kyky taata, että henkilötietojen eheys on vahvistettu;

b)  kyky taata henkilötietoja käsittelevien järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c)  kyky palauttaa nopeasti tietojen saatavuus ja käytettävyys tilanteessa, jossa fyysinen tai tekninen vika rajoittaa tietojärjestelmien ja -palveluiden saatavuutta, eheyttä ja luottamuksellisuutta;

d)  kun on kyse 8 ja 9 artiklassa tarkoitetuista arkaluonteisista henkilötiedoista, täydentävät turvatoimet, joilla lisätään tietoisuutta riskeistä, sekä kyky toteuttaa lähes reaaliaikaisesti ehkäiseviä, korjaavia ja lieventäviä toimenpiteitä sellaisia alttiuksia tai ongelmia vastaan, jotka voivat aiheuttaa riskejä tiedoille;

e)  menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti käytössä olevien turvallisuuskäytänteiden, -menettelyjen ja -suunnitelmien tehokkuutta niiden jatkuvan toimivuuden varmistamiseksi.

2.  Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskinarvioinnin pohjalta 1 kohdassa tarkoitetut toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta tai vahingossa tapahtuvalta häviämiseltä sekä lainvastaisen käsittelyn ja erityisesti luvattoman luovuttamisen, levittämisen tai tiedonsaannin taikka henkilötietojen muuttamisen estämiseksi. Edellä 1 kohdassa tarkoitetuilla toimenpiteillä on vähintään

a)  varmistettava, että henkilötietoja pääsee käsittelemään vain siihen luvan saanut henkilöstö oikeudellisesti perusteltua tarkoitusta varten;

b)  suojattava tallennetut tai siirretyt henkilötiedot vahingossa tapahtuvalta tai laittomalta tuhoamiselta, vahingossa tapahtuvalta häviämiseltä tai muuttamiselta taikka luvattomalta tai lainvastaiselta säilyttämiseltä, käsittelyltä, käytöltä tai luovuttamiselta; ja

c)  varmistettava henkilötietojen käsittelyä koskevien turvallisuusmenetelmien toteuttaminen.

3.  Siirretään komissiolle valta Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja teknisiä ja organisatorisia toimenpiteitä koskevat kriteerit ja edellytykset suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan 1 kohdan b alakohdan mukaisesti, kuten se, mikä on uusin tekniikka, eri aloja ja erilaisia tietojenkäsittelytilanteita varten, ottaen erityisesti huomioon teknologian kehitys ja sisäänrakennettua ja oletusarvoista tietosuojaa koskevat ratkaisut, paitsi jos sovelletaan 4 kohtaa.

4.  Komissio voi tarvittaessa antaa täytäntöönpanosäädöksiä, joissa määritellään 1 ja 2 kohdassa vahvistettujen vaatimusten soveltaminen eri tilanteissa, kuten

a)  henkilötietojen luvattoman saannin estämiseksi;

b)  henkilötietojen luvattoman luovuttamisen, lukemisen, jäljentämisen, muuttamisen, poistamisen tai siirtämisen estämiseksi;

c)  käsittelytoimien lainmukaisuuden todentamiseksi.

Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 124]

31 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

1.  Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 tunnin kuluessa sen ilmitulosta. Jos ilmoitusta ei anneta 24 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

2.  Henkilötietojen Käsittelijän on 26 artiklan 2 kohdan f alakohdan nojalla ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle heti ilman aiheetonta viivytystä, kun se on tullut ilmi.

3.  Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)  kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien kyseessä olevien rekisteröityjen ryhmät ja lukumäärät sekä tietueiden ryhmät ja lukumäärät;

b)  ilmoitettava tietosuojavastaavan henkilöllisyys ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c)  suositeltava toimenpiteitä, joilla lievennetään henkilötietojen tietoturvaloukkauksen mahdollisia haittavaikutuksia;

d)  kuvattava henkilötietojen tietoturvaloukkauksen seurauksia;

e)  kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta ja sen vaikutusten lieventämiseksi.

Tiedot voidaan tarvittaessa antaa vaiheittain.

4.  Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava näiden asiakirjojen pohjalta tarkistaa, että tätä artiklaa ja 30 artiklaa on noudatettu. Asiakirjat saavat sisältää ainoastaan kyseistä tarkoitusta varten välttämättömät tiedot.

4 a.  Valvontaviranomaisen on pidettävä julkista rekisteriä ilmoitetuista rikkomustyypeistä.

5.  Siirretään komissiolle valta antaa Annetaan Euroopan tietosuojaneuvostolle tehtäväksi 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja tietoturvaloukkauksia ja aiheettoman viivytyksen määrittelyä koskevat kriteerit ja vaatimukset suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan 1 kohdan b alakohdan mukaisesti sekä määritellä ne erityiset olosuhteet, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta.

6.  Komissio voi vahvistaa valvontaviranomaiselle annettavan vakiomuotoisen ilmoituksen, ilmoitusta koskevat menettelyt sekä 4 kohdassa tarkoitettujen asiakirjojen muodon ja niitä koskevat yksityiskohtaiset säännöt, mukaan lukien määräajat, joihin mennessä niissä olevat tiedot on poistettava. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 125]

32 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

1.  Kun henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojalle, tai yksityisyydelle, oikeuksille tai oikeutetuille eduille, rekisterinpitäjän on 31 artiklassa tarkoitetun ilmoituksen jälkeen ilmoitettava tietoturvaloukkauksesta myös rekisteröidylle ilman aiheetonta viivytystä.

2.  Edellä 1 kohdassa tarkoitetussa tarkoitetun rekisteröidylle annettavassa ilmoituksessa annettavan ilmoituksen on oltava kattava ja siinä on käytettävä selkeää ja yksinkertaista kieltä. Siinä on kuvattava henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 31 artiklan 3 kohdan b, ja c  ja d alakohdassa tarkoitetut tiedot ja suositukset sekä tiedot rekisteröidyn oikeuksista, muutoksenhaku mukaan luettuna.

3.  Henkilötietojen tietoturvaloukkauksesta ei tarvitse ilmoittaa rekisteröidylle, jos rekisterinpitäjä osoittaa valvontaviranomaista tyydyttävällä tavalla, että se on toteuttanut asianmukaiset tekniset suojatoimenpiteet ja että kyseisiä toimenpiteitä on sovellettu tietoturvaloukkauksen kohteena oleviin henkilötietoihin. Tällaisten teknisten suojatoimenpiteiden avulla tiedot muutetaan sellaiseen muotoon, että ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin.

4.  Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä harkittuaan loukkauksen todennäköisiä haittavaikutuksia, sanotun kuitenkaan rajoittamatta rekisterinpitäjän velvollisuutta ilmoittaa tietoturvaloukkauksesta rekisteröidylle.

5.  Siirretään komissiolle valta Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa suuntaviivat, suositukset ja parhaat käytännöt 86 66 artiklan 1 kohdan b alakohdan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset niiden niistä 1 kohdassa tarkoitettujen olosuhteiden tarkoitetuista olosuhteista määrittämiseksi, joissa henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia henkilötiedoille tai rekisteröidyn yksityisyydelle tai oikeutetuille eduille.

6.  Komissio voi vahvistaa 1 kohdassa tarkoitetun, rekisteröidylle tarkoitetun ilmoituksen muodon ja siihen sovellettavat menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 126]

32 a artikla

Riskianalyysi

1.  Rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän on laadittava riskianalyysi suunnitellun tietojenkäsittelyn mahdollisista vaikutuksista rekisteröityjen oikeuksiin ja vapauksiin ja arvioitava, aiheutuuko sen käsittelytoimista erityisiä riskejä.

2.  Seuraaviin käsittelytoimiin saattaa liittyä erityisiä riskejä:

a)  käsitellään yli 5 000 rekisteröidyn henkilötietoja 12 kuukauden jakson aikana;

b)  edellä 9 artiklan 1 kohdassa tarkoitettujen erityisten tietoryhmien, sijaintitietojen taikka lapsia tai työntekijöitä koskevien tietojen käsittely suuren mittakaavan rekisteröintijärjestelmissä;

c)  profilointi, johon perustuvat toimenpiteet aiheuttavat kyseiselle yksilölle oikeusvaikutuksia tai vaikuttavat häneen vastaavan merkittävällä tavalla;

d)  terveydenhoidon antamista, epidemiologisia tutkimuksia tai mielisairauksia tai tartuntatauteja koskevia selvityksiä koskevien tietojen käsittely, jos tarkoituksena on toteuttaa tiettyjä yksilöitä koskevia toimenpiteitä tai tehdä heitä koskevia päätöksiä suuressa mittakaavassa;

e)  yleisölle avoimien alueiden automaattinen valvonta suuressa mittakaavassa;

f)  muut käsittelytoimet, joita varten vaaditaan tietosuojavastaavan tai valvontaviranomaisen kuulemista 34 artiklan 2 kohdan b alakohdan nojalla;

g)  jos tietosuojaloukkauksen seuraukset vaikuttavat todennäköisesti haitallisesti rekisteröidyn henkilötietojen, yksityisyyden sekä oikeuksien tai oikeutettujen etujen suojaamiseen;

h)  rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat sellaisista käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa;

i)  henkilötietoja asetetaan tietyn joukon saataville, jonka ei voi kohtuudella odottaa olevan rajallinen.

3.  Riskianalyysin tulosten perusteella

a)  jos on olemassa 2 kohdan a tai b alakohdassa tarkoitettuja käsittelytoimia, unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien on nimettävä edustaja unionissa 25 artiklassa vahvistettujen edellytysten ja vapautusten mukaisesti;

b)  jos on olemassa 2 kohdan a, b tai h alakohdassa tarkoitettuja käsittelytoimia, unionin ulkopuolelle sijoittautuneiden rekisterinpitäjän on nimettävä tietosuojavastaava 35 artiklassa vahvistettujen edellytysten ja vapautusten mukaisesti;

c)  jos on olemassa 2 kohdan a, b, c, d, e, f, g tai h alakohdassa tarkoitettuja käsittelytoimia, rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on toteutettava tietosuojaa koskeva vaikutustenarviointi 33 artiklan mukaisesti;

d)  jos on olemassa 2 kohdan f alakohdassa tarkoitettuja käsittelytoimia, rekisterinpitäjän on kuultava tietosuojavastaavaa tai, jos tietosuojavastaavaa ei ole nimitetty, valvontaviranomaista 34 artiklan mukaisesti.

4.  Riskianalyysi tarkistetaan viimeistään vuoden kuluttua tai välittömästi, jos tietojenkäsittelytoimien luonne, laajuus tai tarkoitus muuttuu merkittävästi. Jos rekisterinpitäjä ei 3 kohdan c alakohdan nojalla ole velvollinen toteuttamaan tietosuojaa koskevaa vaikutustenarviointia, riskianalyysi dokumentoidaan. [tark. 127]

3 JAKSO

TIETOSUOJAA KOSKEVA VAIKUTUSTENARVIOINTI JA ENNAKKOHYVÄKSYNTÄ TIETOSUOJAN ELINKAAREN HALLINTA [tark. 128]

33 artikla

Tietosuojaa koskeva vaikutustenarviointi

1.  Jos tietojenkäsittelytoimiin liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi rekisteröidyn oikeuksien ja vapauksien kannalta erityisiä riskejä 32 a artiklan 3 kohdassa sitä edellytetään, rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on laadittava arvio suunniteltujen käsittelytoimien vaikutuksista rekisteröityjen oikeuksiin tai vapauksiin ja etenkin henkilötietojen suojalle suojaan. Yksi arvio riittää siihen, että voidaan puuttua samanlaisiin käsittelytoimiin, jotka aiheuttavat samanlaisia riskejä.

2.  Edellä 1 kohdassa tarkoitettuja erityisiä riskejä voi liittyä erityisesti seuraaviin käsittelytoimiin:

a)  luonnollisen henkilön henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi hänen taloudellisen tilanteensa, sijaintinsa, terveytensä, henkilökohtaisten mieltymystensä, luotettavuutensa tai käyttäytymisensä analysoimista tai ennakoimista varten automatisoidun tietojenkäsittelyn perusteella sellaisten toimenpiteiden antamista varten, jotka aiheuttavat kyseiselle yksilölle oikeusvaikutuksia tai vaikuttavat häneen merkittävällä tavalla;

b)  sukupuolielämää, terveyttä, rotua ja etnistä alkuperää tai terveydenhoidon antamista, epidemiologisia tutkimuksia tai mielisairauksia tai tartuntatauteja koskevia selvityksiä koskevien tietojen käsittely, jos tarkoituksena on toteuttaa tiettyjä yksilöitä koskevia toimenpiteitä tai tehdä heitä koskevia päätöksiä suuressa mittakaavassa;

c)  yleisölle avoimien alueiden valvonta, erityisesti jos käytetään optoelektronisia laitteita (videovalvontaa) suuressa mittakaavassa;

d)  lapsia tai geneettisiä tai biometrisiä tietoja koskevien henkilötietojen käsittely suuren mittakaavan rekisteröintijärjestelmissä;

e)  muut käsittelytoimet, joita varten vaaditaan valvontaviranomaisen kuulemista 34 artiklan 2 kohdan b alakohdan nojalla.

3.  Arvioinnissa on huomioitava henkilötietojen koko elinkaaren hallinta tietojen keräämisestä niiden poistamiseen. Arvioinnissa on esitettävä vähintään yleinen kuvaus suunnitelluista käsittelytoimista, arvio niihin rekisteröidyn oikeuksien ja vapauksien kannalta liittyvistä riskeistä, toimet joiden avulla riskeihin on tarkoitus puuttua, sekä takeet, suojatoimenpiteet ja keinot, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

a)  järjestelmällinen kuvaus suunnitelluista käsittelytoimista, käsittelyn tarkoituksista ja tarvittaessa rekisterinpitäjän oikeutetuista eduista;

b)  arvio käsittelytoimien välttämättömyydestä ja oikeasuhteisuudesta tarkoituksiin nähden;

c)  arvio rekisteröidyn oikeuksiin ja vapauksiin liittyvistä riskeistä, toimen sisältämä tai sen lisäämä syrjinnän riski mukaan luettuna;

d)  kuvaus toimista, joiden avulla on tarkoitus puuttua riskeihin ja minimoida käsiteltävien henkilötietojen määrä;

e)  luettelo takeista, suojatoimenpiteistä ja keinoista, joilla varmistetaan henkilötietojen suoja, salanimien käyttö mukaan lukien, ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut;

f)  yleinen maininta eri tietoryhmien poistamisen määräajoista;

g)  selvitys siitä, mitä 23 artiklan mukaisia sisäänrakennetun ja oletusarvoisen tietosuojan käytänteitä on toteutettu;

h)  luettelo henkilötietojen vastaanottajista tai vastaanottajaryhmistä;

i)  tarvittaessa tiedot henkilötietojen suunnitellusta siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä;

j)  arvio tietojenkäsittelyn kontekstista.

3 a.  Jos rekisterinpitäjä tai henkilötietojen käsittelijä on nimittänyt tietosuojavastaavan, tämän on osallistuttava vaikutustenarvioinnin laatimiseen.

3 b.  Arviointi on dokumentoitava ja siinä on asetettava aikataulu säännöllisille 33 a artiklan 1 kohdan mukaisille tietosuojan noudattamisen arvioinneille. Arviointi on päivitettävä ilman aiheetonta viivytystä, jos 33 a artiklassa tarkoitetun tietosuojan noudattamisen arvioinnin tulokset tuovat esiin epäjohdonmukaisuuksia. Rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyydettäessä esitettävä arviointi valvontaviranomaiselle.

4.  Rekisterinpitäjän on pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että tämä saa vaikuttaa kaupallisten tai yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.

5.  Jos rekisterinpitäjä on viranomainen tai julkishallinnon elin ja käsittely perustuu 6 artiklan 1 kohdan c alakohdassa tarkoitettuun lakisääteiseen velvollisuuteen, jonka yhteydessä vahvistetaan käsittelytoimia koskevat säännöt ja menettelyt ja jota säännellään unionin lainsäädännöllä, 1–4 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien aloittamista.

6.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja edellytykset sellaisia 1 ja 2 artiklassa tarkoitettuja käsittelytoimia varten, joihin todennäköisesti liittyy erityisiä riskejä, ja 3 artiklassa tarkoitettua arviointia koskevat vaatimukset, mukaan lukien arvioinnin laajennettavuutta, todentamista ja tarkastamista koskevat edellytykset. Tässä yhteydessä komissio harkitsee erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

7.  Komissio voi täsmentää standardit ja menettelyt 3 artiklassa tarkoitetun arvioinnin toteuttamista, todentamista ja tarkastamista varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 129]

33 a artikla

Tietosuojasääntöjen noudattamisen tarkastelu

1.  Rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on tarkasteltava noudattamista vähintään kahden vuoden kuluttua 33 artiklan 1 kohdan mukaisen vaikutustenarvioinnin laatimisesta. Noudattamisen tarkastelussa on osoitettava, että henkilötietojen käsittely tapahtuu tietosuojaa koskevan vaikutustenarvioinnin mukaisesti.

2.  Noudattamisen tarkastelu on toteutettava säännöllisesti vähintään joka toinen vuosi tai välittömästi, jos käsittelytoimiin liittyvät erityiset riskit muuttuvat.

3.  Jos noudattamisen tarkastelun tulokset osoittavat noudattamisessa olevan epäjohdonmukaisuuksia, tarkastelussa on annettava suosituksia täysimääräisen noudattamisen saavuttamiseksi.

4.  Noudattamisen tarkastelu ja siinä esitetyt suositukset dokumentoidaan. Rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyynnöstä esitettävä noudattamisen tarkastelu valvontaviranomaiselle.

5.  Jos rekisterinpitäjä tai henkilötietojen käsittelijä on nimittänyt tietosuojavastaavan, tämän on osallistuttava noudattamisen tarkasteluun. [tark. 130]

34 artikla

Ennakkohyväksyntä ja Ennakkokuuleminen

1.  Tapauksen mukaan joko rekisterinpitäjän tai henkilötietojen käsittelijän on saatava valvontaviranomaiselta ennen henkilötietojen käsittelyä ennakkohyväksyntä sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja erityisesti siitä rekisteröidyille mahdollisesti aiheutuvien riskien lieventämiseksi, jos rekisterinpitäjä tai henkilötietojen käsittelijä hyväksyy 42 artiklan 2 kohdan d alakohdassa tarkoitettuja sopimuslausekkeita tai ei anna asianmukaisia takeita 42 artiklan 5 kohdassa tarkoitetussa oikeudellisesti sitovassa asiakirjassa siltä osin kuin on kyse henkilötietojen siirrosta kolmanteen maahan tai kansainväliselle järjestölle.

2.  Rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on ennen henkilötietojen käsittelyä kuultava tietosuojavastaavaa tai, jos tietosuojavastaavaa ei ole nimitetty, valvontaviranomaista sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja erityisesti siitä rekisteröidyille mahdollisesti aiheutuvien riskien lieventämiseksi, jos

a)  33 artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelytoimiin todennäköisesti liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi merkittäviä erityisiä riskejä; tai

b)  tietosuojavastaava tai valvontaviranomainen katsoo tarpeelliseksi suorittaa ennakkokuulemisen sellaisten 4 kohdan mukaisesti määriteltyjen käsittelytoimien osalta, joihin todennäköisesti liittyy niiden luonteen, laajuuden ja/tai tarkoitusten vuoksi rekisteröidyn vapauksien ja oikeuksien kannalta erityisiä riskejä.

3.  Jos toimivaltainen valvontaviranomainen katsoo määrittelee valtuuksiensa mukaisesti, että suunniteltu käsittely ei ole tämän asetuksen mukaista, etenkin jos riskejä ei ole yksilöity tai lievennetty riittävästi, sen on kiellettävä suunniteltu käsittely ja esitettävä tarvittavat ehdotukset havaittujen puutteiden korjaamiseksi.

4.  Valvontaviranomaisen Euroopan tietosuojaneuvoston on laadittava ja julkaistava luettelo käsittelytoimista, joiden yhteydessä vaaditaan 2 kohdan b alakohdassa kohdassa tarkoitettu ennakkokuuleminen. Valvontaviranomaisen on toimitettava tällaiset luettelot Euroopan tietosuojaneuvostolle.

5.  Jos 4 kohdassa tarkoitettu luettelo koskee käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seuraamiseen tai jos toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia ennen kuin se vahvistaa luettelon.

6.  Rekisterinpitäjän tai henkilötietojen käsittelijän on toimitettava valvontaviranomaiselle pyynnöstä 33 artiklassa tarkoitettu artiklan mukainen tietosuojaa koskeva vaikutustenarviointi ja pyynnöstä muut tarvittavat tiedot, joiden avulla valvontaviranomainen voi arvioida, ovatko käsittelytoimet tämän asetuksen mukaisia, ja arvioida erityisesti riskejä rekisteröidyn henkilötietojen suojan kannalta ja tähän liittyviä takeita.

7.  Jäsenvaltioiden on kuultava valvontaviranomaista, kun ne valmistelevat kansallisen parlamentin hyväksyntää varten lainsäädäntöä tai tällaiseen lainsäädäntöön perustuvaa toimenpidettä, jossa määritellään käsittelyn luonne, sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja että erityisesti rekisteröidyille mahdollisesti aiheutuvia riskejä lievennetään.

8.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset 2 kohdan a alakohdassa tarkoitettujen merkittävien riskien määrittämistä varten.

9.  Komissio voi laatia vakiolomakkeet ja ‑menettelyt sekä 1 ja 2 kohdassa tarkoitettua ennakkohyväksyntää ja ‑kuulemista että 6 kohdassa tarkoitettua valvontaviranomaisille tehtävää ilmoitusta varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 131]

4 JAKSO

TIETOSUOJAVASTAAVA

35 artikla

Tietosuojavastaavan nimittäminen

1.  Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun

a)  tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin; tai

b)  tietojenkäsittelyä suorittaa yritys, jossa on vähintään 250 työntekijää oikeushenkilö, jonka toiminnan kohteena on yli 5 000 henkilöä 12 kuukauden jaksolla; tai

c)  rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat sellaisista käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai

d)  rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat 9 artiklan 1 kohdan mukaisten erityisten tietoryhmien, sijaintitietojen taikka lapsia tai työntekijöitä koskevien tietojen käsittelystä suuren mittakaavan rekisteröintijärjestelmissä.

2.  Edellä 1 kohdan b alakohdassa tarkoitetussa tapauksessa Yritysryhmä voi nimittää vain yhden päävastuussa olevan tietosuojavastaavan edellyttäen, että on varmistettu, että jokaisesta toimipaikasta voidaan ottaa helposti yhteyttä tietosuojavastaavaan.

3.  Jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin, tietosuojavastaava voidaan nimittää sen useampaa yksikköä varten, kyseisen viranomaisen tai elimen organisaatiorakenne huomioon ottaen.

4.  Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä edustavat yhdistykset ja muut elimet voivat nimittää tietosuojavastaavan.

5.  Rekisterinpitäjän tai henkilötietojen käsittelijän on tietosuojavastaavaa nimitettäessä otettava huomioon ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus sekä valmiudet suorittaa 37 artiklassa tarkoitetut tehtävät. Tarvittavan erityisasiantuntemuksen taso määräytyy etenkin rekisterinpitäjän ja henkilötietojen käsittelijän suorittaman tietojenkäsittelyn ja käsiteltävien tietojen edellyttämän suojan perusteella.

6.  Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaavan muut ammatilliset velvollisuudet voidaan sovittaa yhteen tietosuojavastaavan tehtävien ja velvollisuuksien kanssa eturistiriitoja aiheuttamatta.

7.  Rekisterinpitäjän tai henkilötietojen käsittelijän on nimitettävä tietosuojavastaava vähintään neljän vuoden ajaksi, jos kyse on työntekijästä, tai kahden vuoden ajaksi, jos kyse on ulkoisesta palveluntuottajasta. Tietosuojavastaava voidaan nimittää tehtäväänsä uudelleen. Tietosuojavastaava voidaan erottaa toimestaan vain, jos hän ei enää täytä tehtäviensä suorittamisen edellyttämiä vaatimuksia.

8.  Rekisterinpitäjä tai henkilötietojen käsittelijä voi ottaa tietosuojavastaavan palvelukseensa tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.

9.  Rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava tietosuojavastaavan nimi ja yhteystiedot valvontaviranomaiselle ja yleisölle.

10.  Rekisteröidyillä on oikeus ottaa yhteyttä tietosuojavastaavaan kaikissa tietojensa käsittelyyn liittyvissä asioissa ja pyytää saada käyttää tähän asetukseen perustuvia oikeuksiaan.

11.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan c alakohdassa tarkoitettuja rekisterinpitäjän ja henkilötietojen käsittelijän keskeisiä tehtäviä koskevat kriteerit ja vaatimukset sekä 5 kohdassa tarkoitettua tietosuojavastaavan ammattipätevyyttä koskevat vaatimukset. [tark. 132]

36 artikla

Tietosuojavastaavan asema

1.  Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2.  Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava täyttää velvollisuutensa ja tehtävänsä riippumattomasti eikä ota vastaan ohjeita tehtäviensä hoitamisen yhteydessä. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän johdolle toimeenpanevalle johtoelimelle. Rekisterinpitäjä ja henkilötietojen käsittelijä nimittävät tätä tarkoitusta varten yrityksen toimeenpanevaan johtoelimeen jäsenen, jolla on vastuu tämän asetuksen säännösten noudattamisesta.

3.  Rekisterinpitäjän tai henkilötietojen käsittelijän on tuettava tietosuojavastaavaa tämän tehtävien suorittamisessa ja annettava tälle kaikki välineet, mukaan lukien henkilöstö, toimitilat, varusteet ja muut resurssit, jotka ovat tarpeen 37 artiklassa tarkoitettujen velvollisuuksien ja tehtävien täyttämistä sekä ammattipätevyyden ylläpitämistä varten.

4.  Tietosuojavastaavia sitoo salassapitovelvollisuus rekisteröityjen henkilöllisyydestä ja tilanteista, joissa rekisteröidyt ovat tunnistettavissa, paitsi jos rekisteröity on vapauttanut heidät tästä velvoitteesta. [tark. 133]

37 artikla

Tietosuojavastaavan tehtävät

1.  Rekisterinpitäjän tai henkilötietojen käsittelijän on osoitettava tietosuojavastaavalle ainakin seuraavat tehtävät:

a)  lisätä tietoisuutta, antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen mukaisia, erityisesti teknisiin ja organisatorisiin toimenpiteisiin ja menettelyihin liittyviä velvollisuuksia, sekä dokumentoida tämä toiminta ja saadut vastaukset;

b)  seurata rekisterinpitäjän tai henkilötietojen käsittelijän henkilötietojen suojaan liittyvien toimintamenetelmien täytäntöönpanoa ja soveltamista, kuten vastuunjakoa, käsittelyyn osallistuvan henkilöstön koulutusta ja tarkastuksia;

c)  seurata tämän asetuksen täytäntöönpanoa ja soveltamista ja erityisesti sisäänrakennettuun tietosuojaan, oletusarvoiseen tietosuojaan ja tietoturvallisuuteen liittyviä vaatimuksia sekä rekisteröidylle ilmoittamista ja rekisteröityjen esittämiä pyyntöjä, jotka koskevat tähän asetukseen pohjautuvien oikeuksien käyttöä;

d)  varmistaa, että 28 artiklassa tarkoitetut asiakirjat säilytetään;

e)  seurata 31 ja 32 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksiin liittyvien asiakirjojen säilyttämistä ja tietoturvaloukkauksista ilmoittamista;

f)  seurata tietosuojaa koskevan vaikutustenarvioinnin laatimista rekisterinpitäjän tai henkilötietojen käsittelijän toimesta sekä ennakkohyväksynnän tai ennakkokuulemisen soveltamista, jos ne vaaditaan 32 a, 33 ja 34 artiklan nojalla;

g)  seurata valvontaviranomaisen pyyntöihin vastaamista ja tietosuojavastaavan toimivaltuuksien mukaisesti tehdä yhteistyötä valvontaviranomaisen kanssa jälkimmäisen pyynnöstä tai tietosuojavastaavan omasta aloitteesta;

h)  toimia valvontaviranomaisen yhteyspisteenä tietojenkäsittelyyn liittyvissä kysymyksissä ja tarvittaessa kuulla valvontaviranomaista tietosuojavastaavan omasta aloitteesta;

i)  varmistaa, että noudatetaan tätä asetusta 34 artiklassa vahvistetun ennakkokuulemisen mekanismin mukaisesti;

j)  tiedottaa työntekijöiden edustajille työntekijöitä koskevasta tietojenkäsittelystä.

2.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitetut tietosuojavastaavan tehtäviä, sertifiointia, asemaa, toimivaltuuksia ja resursseja koskevat kriteerit ja vaatimukset. [tark. 134]

5 JAKSO

KÄYTÄNNESÄÄNNÖT JA SERTIFIOINTI

38 artikla

Käytännesäännöt

1.  Jäsenvaltioiden, valvontaviranomaisten ja komission on edistettävä sellaisten käytännesääntöjen laatimista tai sellaisten valvontaviranomaisten laatimien käytännesääntöjen hyväksymistä, joiden avulla tuetaan tämän asetuksen asianmukaista soveltamista, ottaen huomioon tietojenkäsittelyn eri sektorien erityispiirteet ja erityisesti seuraavat seikat:

a)  tietojenkäsittelyn oikeudenmukaisuus ja läpinäkyvyys;

a a)  kuluttajan oikeuksien kunnioittaminen;

b)  tietojen kerääminen;

c)  yleisölle ja rekisteröidyille tarkoitettu tiedotus;

d)  rekisteröityjen pyynnöt, jotka koskevat heille kuuluvien oikeuksien käyttöä;

e)  lapsille tarkoitettu tiedotus ja lasten suojelu;

f)  tietojen siirtäminen kolmansiin maihin tai kansainvälisille järjestöille;

g)  mekanismit, joiden avulla seurataan ja varmistetaan, että rekisterinpitäjät noudattavat niitä koskevia käytännesääntöjä;

h)  tuomioistuinten ulkopuoliset ja muut riidanratkaisumenettelyt henkilötietojen käsittelyä koskevien kiistojen ratkaisemiseksi rekisterinpitäjien ja rekisteröityjen välillä, 73–75 artiklaan perustuvia rekisteröityjen oikeuksia rajoittamatta.

2.  Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä jossakin jäsenvaltiossa ja jotka aikovat laatia käytännesääntöjä tai muuttaa tai laajentaa voimassa olevia käytännesääntöjä, voivat esittää ne kyseisen jäsenvaltion valvontaviranomaiselle lausunnon saamista varten. Valvontaviranomainen voi antaa lausunnon Valvontaviranomaisen on annettava ilman aiheetonta viivytystä lausunto siitä, onko käytännesääntöjen luonnos tai muutos luonnoksen tai muutoksen mukainen käsittely tämän asetuksen mukainen mukaista. Valvontaviranomaisen on pyydettävä tällaisista luonnoksista rekisteröityjen tai näiden edustajien näkemyksiä.

3.  Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä useissa jäsenvaltioissa, voivat esittää käytännesääntöjen luonnokset tai voimassa olevien käytännesääntöjen tarkistus- tai laajennusehdotukset komissiolle.

4.  Komissio voi Komissiolle siirretään valta antaa täytäntöönpanosäädöksiä Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen 86 artiklan mukaisesti delegoituja säädöksiä, joissa se toteaa, että sille 3 kohdan nojalla esitetyt käytännesäännöt tai voimassa olevien käytännesääntöjen tarkistukset tai laajennukset ovat tämän asetuksen mukaisia sekä yleisesti päteviä unionissa. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Näillä delegoiduilla säädöksillä annetaan rekisteröidyille täytäntöönpanokelpoisia oikeuksia.

5.  Komissio huolehtii niiden käytännesääntöjen asianmukaisesta julkaisemisesta, jotka se on todennut yleisesti päteviksi 4 kohdan mukaisesti. [tark. 135]

39 artikla

Sertifiointi

1.  Jäsenvaltiot ja komissio edistävät tietosuojaa koskevien sertifiointimekanismien sekä tietosuojasinettien ja ‑merkkien käyttöönottoa erityisesti unionin tasolla, jotta rekisteröidyt voivat nopeasti arvioida rekisterinpitäjien ja henkilötietojen käsittelijöiden tarjoaman tietosuojan tasoa. Nämä tietosuojaa koskevat sertifiointimekanismit edistävät tämän asetuksen asianmukaista soveltamista, tietojenkäsittelyn eri sektorien ja erilaisten käsittelytoimien erityispiirteet huomioon ottaen.

1 a.  Rekisterinpitäjä tai henkilötietojen käsittelijä voi pyytää mitä tahansa unionissa toimivaa valvontaviranomaista myöntämään kohtuullista, hallintokulut huomioon ottavaa maksua vastaan sertifioinnin, jossa vahvistetaan, että henkilötietojen käsittely on tämän asetuksen ja etenkin 5, 23 ja 30 artiklassa vahvistettujen periaatteiden, rekisterinpitäjän ja henkilötietojen käsittelijän vastuiden ja rekisteröidyn oikeuksien mukaista.

1 b.   Sertifioinnin on oltava vapaaehtoista, kohtuuhintaista ja helposti saatavilla sellaisen menettelyn perusteella, joka on avoin ja jolla ei aiheuteta kohtuutonta taakkaa.

1 c.  Valvontaviranomaisten ja Euroopan tietosuojaneuvoston on tehtävä yhteistyötä keskenään 57 artiklan yhdenmukaisuusmekanismin puitteissa taatakseen tietosuojaa koskevan sertifiointimekanismin yhtenäisyyden koko unionissa, yhtenäiset maksut mukaan lukien.

1 d.  Valvontaviranomainen voi tämän sertifiointimenettelyn aikana valtuuttaa tarkastuksiin erikoistuneita kolmansia osapuolia suorittamaan lukuunsa rekisterinpitäjän tai henkilötietojen käsittelijän tarkastuksen. Tarkastuksiin erikoistuneilla kolmansilla osapuolilla on oltava riittävästi pätevää henkilöstä, niiden on oltava puolueettomia eikä niillä saa olla niiden tehtäviin liittyviä eturistiriitoja. Valvontaviranomaisten on peruutettava hyväksyntä, jos on syytä olettaa, että tarkastaja ei toteuta tehtäviään asianmukaisesti. Valvontaviranomainen myöntää lopullisen sertifioinnin.

1 e.  Valvontaviranomaiset myöntävät niille rekisterinpitäjille ja henkilötietojen käsittelijöille, joiden on sertifioinnin yhteydessä todettu käsittelevän henkilötietoja tämän asetuksen mukaisesti, vakiomallisen tietosuojamerkin eli "eurooppalaisen tietosuojasinetin".

1 f.  "Eurooppalainen tietosuojasinetti" on voimassa niin kauan kuin sertifioidun rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimet ovat kaikilta osin tämän asetuksen mukaisia.

1 g.  Sen estämättä, mitä 1 f kohdassa säädetään, sertifiointi on voimassa enintään viisi vuotta.

1 h. Euroopan tietosuojaneuvoston on perutettava julkinen sähköinen rekisteri, josta ovat nähtävissä kaikki jäsenvaltiossa myönnetyt voimassa olevat ja pätemättömät sertifioinnit.

1 i. Euroopan tietosuojaneuvosto voi omasta aloitteestaan myöntää sertifioinnin, että tietosuojaa parantava tekninen standardi on tämän asetuksen mukainen.

2.  Siirretään komissiolle valta antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen ja sidosryhmiä ja etenkin yrityksiä ja valtiosta riippumattomia järjestöjä kuultuaan 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa kohdan a–h alakohdassa tarkoitettuja tietosuojaa koskevia sertifiointimekanismeja koskevat kriteerit ja vaatimukset, mukaan lukien niiden tarkastajien hyväksymistä koskevat vaatimukset, myöntämistä ja peruuttamista koskevat edellytykset sekä vaatimukset niiden tunnustamiseksi unionissa ja kolmansissa maissa. Näillä delegoiduilla säädöksillä annetaan rekisteröidyille täytäntöönpanokelpoisia oikeuksia.

3.  Komissio voi vahvistaa tekniset standardit sertifiointimekanismeja sekä tietosuojasinettejä ja ‑merkkejä varten ja menettelyt niiden edistämiseksi ja tunnustamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 136]

V LUKU

HENKILÖTIETOJEN SIIRTO KOLMANSIIN MAIHIN TAI KANSAINVÄLISILLE JÄRJESTÖILLE

40 artikla

Siirtoja koskeva yleinen periaate

Sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, voidaan toteuttaa vain jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa vahvistettuja edellytyksiä ja ellei tämän asetuksen muista säännöksistä muuta johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle.

41 artikla

Siirto tietosuojan tason riittävyyttä koskevan päätöksen perusteella

1.  Siirto voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kyseinen kansainvälinen järjestö tarjoaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erillistä erityistä lupaa.

2.  Arvioidessaan tietosuojan riittävyyttä komissio ottaa huomioon seuraavat seikat:

a)  oikeusvaltioperiaate, voimassa oleva yleinen ja alakohtainen lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta, tämän lainsäädännön täytäntöönpanoa sekä ammatillisia sääntöjä ja suojatoimia, joita kyseisessä maassa tai kansainvälisessä järjestössä noudatetaan, oikeudelliset ennakkotapaukset sekä tehokkaat ja täytäntöönpanokelpoiset oikeudet, kuten tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot rekisteröityjä ja erityisesti niitä unionin alueella asuvia rekisteröityjä varten, joiden tietoja siirretään;

b)  se, onko kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisesta, myös riittävistä seuraamuksia koskevista valtuuksista, tarjoaa rekisteröidyille apua ja neuvoja oikeuksien käyttämisessä ja tekee yhteistyötä EU:n ja jäsenvaltioiden valvontaviranomaisten kanssa; ja

c)  kyseisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset ja erityisesti henkilötietojen suojaa koskevat oikeudelliset sitovat yleissopimukset tai säädökset.

3.  Komissio voi päättää Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa päätetään, että kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kansainvälinen järjestö tarjoaa 2 kohdassa tarkoitetun riittävän tietosuojan tason. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Näissä delegoiduissa säädöksissä on raukeamislauseke, jos ne koskevat tietojenkäsittelyn sektoria, ja ne peruutetaan 5 kohdan mukaisesti heti, kun tämän asetuksen mukaista riittävän tasoista tietosuojaa ei enää voida varmistaa.

4.  Täytäntöönpanosäädöksessä Delegoidussa säädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja mahdollisuuksien mukaan nimetään 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen.

4 a.  Komissio seuraa jatkuvasti kehitystä, joka saattaa vaikuttaa 2 kohdassa lueteltujen elementtien täytäntöönpanoon kolmansissa maissa ja kansainvälisissä järjestöissä, joissa 3 kohdan mukainen delegoitu säädös on saatettu voimaan.

5.  Komissio voi päättää Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa päätetään, että kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kansainvälinen järjestö ei tarjoa tai ei enää tarjoa tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, varsinkin jos kolmannen maan tai kansainvälisen järjestön yleisessä ja alakohtaisessa lainsäädännössä ei taata rekisteröidyille ja erityisesti niille unionin alueella asuville rekisteröidyille, joiden tietoja siirretään, tehokkaita ja täytäntöönpanokelpoisia oikeuksia, tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot mukaan lukien. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen tai, jos yksilön oikeus henkilötietojen suojaan sitä kiireellisesti edellyttää, 87 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen.

6.  Jos komissio päättää 5 kohdan nojalla kieltää kaikki henkilötietojen siirrot kolmanteen maahan tai kyseisen kolmannen maan alueelle tai tietojenkäsittelyn sektorille tai kansainväliselle järjestölle, tämä päätös ei rajoita 42–44 artiklan soveltamista. Komissio aloittaa sopivalla hetkellä neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa 5 kohdan mukaisesti tehdystä päätöksestä aiheutuneen tilanteen korjaamiseksi.

6 a.  Komissio pyytää ennen delegoidun säädöksen antamista 3 tai 5 kohdan mukaisesti Euroopan tietosuojaneuvostolta lausunnon tietosuojan riittävästä tasosta. Sitä varten komissio toimittaa Euroopan tietosuojaneuvostolle kaikki välttämättömät asiakirjat, mukaan lukien kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön kanssa käyty kirjeenvaihto.

7.  Komissio julkaisee Euroopan unionin virallisessa lehdessä ja verkkosivustollaan luettelon niistä kolmansista maista, kolmannen maan alueista ja tietojenkäsittelyn sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei ole riittävä.

8.  Päätökset, jotka komissio on tehnyt direktiivin 95/46/EY 25 artiklan 6 kohdan tai 26 artiklan 4 kohdan nojalla, pysyvät voimassa kunnes viisi vuotta asetuksen voimaantulosta, jollei komissio muuttaa muuta niitä tai korvaa tai kumoaa kumoa ne ennen tämän kauden päättymistä. [tark. 137]

42 artikla

Siirto asianmukaisten takeiden perusteella

1.  Jos komissio ei ole tehnyt päätöstä 41 artiklan nojalla tai päättää, että jokin kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai jokin kansainvälinen järjestö ei varmista riittävää tietosuojan tasoa 41 artiklan 5 kohdan nojalla, rekisterinpitäjä tai henkilötietojen käsittelijä ei voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain jos, jollei kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on ole antanut oikeudellisesti sitovassa välineessä asianmukaiset takeet asianmukaisia takeita, joilla varmistetaan henkilötietojen suoja.

2.  Edellä 1 kohdassa tarkoitettuja asianmukaisia takeita ovat erityisesti seuraavat:

a)  43 artiklassa tarkoitetut yritystä koskevat sitovat säännöt; tai

a a)  rekisterinpitäjän ja vastaanottajan 39 artiklan 1 kohdan e alakohdan mukainen voimassa oleva "eurooppalainen tietosuojasinetti"; tai

b)  komission hyväksymät tietosuojaa koskevat vakiolausekkeet; nämä täytäntöönpanosäännökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen; tai

c)  tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa 57 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti, jos komissio toteaa ne 62 artiklan 1 kohdan b alakohdan nojalla yleisesti päteviksi; tai

d)  rekisterinpitäjän tai henkilötietojen käsittelijän ja tietojen vastaanottajan väliset sopimuslausekkeet, jotka valvontaviranomainen on vahvistanut 4 kohdan mukaisesti.

3.  Siirrot, jotka perustuvat tietosuojaa koskeviin vakiolausekkeisiin, eurooppalaiseen tietosuojasinettiin tai 2 kohdan a–c a, a a tai c alakohdassa tarkoitettuihin yritystä koskeviin sitoviin sääntöihin, eivät tarvitse muuta erityistä hyväksyntää.

4.  Jos siirto perustuu tämän artiklan 2 kohdan d alakohdassa tarkoitettuihin sopimuslausekkeisiin, rekisterinpitäjän tai henkilötietojen käsittelijän on saatava sopimuslausekkeille valvontaviranomaisen ennakkohyväksyntä 34 artiklan 1 kohdan mukaisesti. Jos siirto liittyy käsittelytoimiin, jotka kohdistuvat toisessa jäsenvaltiossa tai toisissa jäsenvaltioissa asuviin rekisteröityihin, tai jos toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia.

5.  Jos henkilötietojen suojaa koskevia asianmukaisia takeita ei anneta oikeudellisesti sitovassa välineessä, rekisterinpitäjän tai henkilötietojen käsittelijän on saatava ennakkohyväksyntä siirrolle tai siirtojen sarjalle tai säännöksille, jotka sisällytetään tällaisen siirron perusteet muodostaviin hallinnollisiin järjestelyihin. Valvontaviranomainen antaa tämän ennakkohyväksynnän 34 artiklan 1 kohdan mukaisesti. Jos siirto liittyy käsittelytoimiin, jotka kohdistuvat toisessa jäsenvaltiossa tai toisissa jäsenvaltioissa asuviin rekisteröityihin, tai jos toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia. Ennakkohyväksynnät, jotka valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa kunnes kaksi vuotta tämän asetuksen voimaantulosta, jollei valvontaviranomainen muttaa muuta, korvaa tai kumoaa kumoa niitä ennen tämän kauden päättymistä. [tark. 138]

43 artikla

Siirto yritystä koskevien sitovien sääntöjen perusteella

1.  Valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 58 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos

a)  säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin rekisterinpitäjän tai henkilötietojen käsittelijän yritysryhmän jäseniin ja niihin ulkoisiin alihankkijoihin, jotka kuuluvat yritystä koskevien sitovien sääntöjen soveltamisalaan, niiden työntekijät mukaan lukien, ja kaikki nämä yksiköt myös panevat säännöt täytäntöön;

b)  säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia oikeuksia;

c)  säännöt täyttävät 2 kohdassa säädetyt vaatimukset.

1 a.  Mitä tulee työntekijöiden tietoihin, työntekijöiden edustajille on ilmoitettava 43 artiklan mukaisten yritystä koskevien sitovien sääntöjen laadinnasta ja niiden on unionin tai jäsenvaltion lainsäädännön ja käytännön mukaisesti oltava mukana laadinnassa.

2.  Yritystä koskevissa sitovissa säännöissä on täsmennettävä vähintään seuraavat seikat:

a)  yritysryhmän ja sen jäsenten sekä niiden ulkopuolisten alihankkijoiden rakenne ja yhteystiedot, jotka kuuluvat yritystä koskevien sitovien sääntöjen soveltamisalaan;

b)  tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietojen ryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse;

c)  sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella;

d)  yleiset tietosuojaperiaatteet, erityisesti käsittelytarkoituksen rajoittaminen, tietojen minimointi, rajoitettu säilytysaika, tietojen laatu, sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja, käsittelyn oikeusperusta, arkaluonteisten henkilötietojen käsittely; toimenpiteet tietoturvan varmistamiseksi; ja vaatimukset tietojen siirtämiseksi edelleen järjestöille, joita nämä menettelyt eivät sido;

e)  rekisteröityjen oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta 20 artiklassa tarkoitetun profilointiin perustuvan toimenpiteen kohteeksi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 75 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi;

f)  jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän on sitouduttava kantamaan vastuu siitä, että jokin yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain jos rekisterinpitäjä tai henkilötietojen käsittelijä osoittaa, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta;

g)  se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 11 artiklan mukaisesti;

h)  edellä olevan 35 artiklan mukaisesti nimitetyn tietosuojavastaavan tehtävät, mukaan lukien yritystä koskevien sitovien sääntöjen noudattamisen valvonta yritysryhmässä, sekä koulutuksen ja valitusten käsittelyn seuranta;

i)  mekanismit, joiden avulla yritysryhmässä pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen tarkistetaan;

j)  mekanismit toimintamenetelmiin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten;

k)  yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki yritysryhmän jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön tämän kohdan i alakohdassa tarkoitettujen toimenpiteiden tarkistamisen tulokset.

3.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin tässä artiklassa tarkoitettuja yritystä koskevia sitovia sääntöjä koskevat koskeva muoto, menettelyt, kriteerit ja vaatimukset, erityisesti kriteerit niiden hyväksymiselle, mukaan lukien läpinäkyvyys rekisteröidyille, ja 2 kohdan b, d, e ja f alakohdan soveltamiselle henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin sekä muut tarvittavat vaatimukset asianomaisille rekisteröidyille kuuluvien henkilötietojen suojan varmistamiseksi.

4.  Komissio voi vahvistaa muodon ja menettelyt rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä koskevista sitovista säännöistä sähköisin keinoin käytävää tietojenvaihtoa varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 139]

43 a artikla

Siirrot ja luovutukset, joita ei sallita unionin lainsäädännössä

1.  Mitään sellaista kolmannen maan tuomioistuimen tuomiota tai hallintoviranomaisen päätöstä, joka edellyttää, että rekisterinpitäjän tai henkilötietojen käsittelijän on luovutettava henkilötietoja, ei millään tavoin tunnusteta tai katsota täytäntöönpanokelpoiseksi, sanotun kuitenkaan rajoittamatta pyynnön esittäneen kolmannen maan ja unionin tai jäsenvaltion välistä voimassa olevaa keskinäistä oikeudellista avunantoa koskevaa sopimusta tai kansainvälistä sopimusta.

2.  Jos kolmannen maan tuomioistuimen ratkaisussa tai hallinnollisen viranomaisen päätöksessä pyydetään rekisterinpitäjää tai henkilötietojen käsittelijää luovuttamaan henkilötietoja, rekisterinpitäjän tai henkilötietojen käsittelijän ja rekisterinpitäjän mahdollisen edustajan on ilman aiheetonta viivästystä ilmoitettava esitetystä pyynnöstä valvontaviranomaiselle sekä saatava siirrolle tai luovutukselle valvontaviranomaisen ennakkohyväksyntä.

3.  Valvontaviranomaisen on arvioitava pyydetyn tietojen luovuttamisen yhdenmukaisuutta tämän asetuksen kanssa ja erityisesti luovuttamisen tarpeellisuutta tai oikeudellista välttämättömyyttä 44 artiklan 1 kohdan d ja e alakohtien ja 44 artiklan 5 kohdan mukaisesti. Jos vaikutukset koskevat toisten jäsenvaltioiden rekisteröityjä, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia.

4.  Valvontaviranomaisen on ilmoitettava pyynnöstä toimivaltaiselle kansalliselle viranomaiselle. Rekisterinpitäjän tai henkilötietojen käsittelijän on myös ilmoitettava rekisteröidyille pyynnöstä ja valvontaviranomaisen antamasta hyväksynnästä ja tarvittaessa siitä, toimitettiinko viranomaisille henkilötietoja edeltävän 12 kuukauden jakson aikana 14 artiklan 1 kohdan h a alakohdan mukaisesti, sanotun kuitenkaan rajoittamatta 21 artiklan soveltamista. [tark. 140]

44 artikla

Poikkeukset

1.  Jos 41 artiklan nojalla ei ole tehty tietosuojan tason riittävyyttä koskevaa päätöstä tai 42 artiklassa tarkoitettuja asianmukaisia takeita ei ole annettu, henkilötietojen siirto tai siirtojen sarja kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain sillä edellytyksellä, että

a)  rekisteröity on suostunut ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu riskeistä, joita tällaisiin siirtoihin liittyy tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten takeiden puuttumisen vuoksi; tai

b)  siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; tai

c)  siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen tai oikeushenkilön välisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi rekisteröidyn edun mukaisesti; tai

d)  siirto on tarpeen yleistä etua koskevan tärkeän syyn vuoksi; tai

e)  siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai

f)  siirto on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

g)  siirto tehdään julkisesta rekisteristä, joka on unionin tai jäsenvaltion lainsäädännön mukaisesti yleisön käytettävissä tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, siltä osin kuin rekisterin käytettävissä olemisen edellytykset, joista säädetään unionin tai jäsenvaltion lainsäädännössä, täyttyvät kussakin yksittäisessä tapauksessa.; tai

h)  siirto on tarpeen sellaisten rekisterinpitäjän tai henkilötietojen käsittelijän oikeutettujen etujen toteuttamiseksi, joita ei voida pitää toistuvina tai laajamittaisina, kun rekisterinpitäjä tai henkilötietojen käsittelijä on arvioinut kaikkia tiettyyn tiedonsiirtoon tai siirtojen sarjaan liittyviä olosuhteita ja on tämän arvioinnin pohjalta tarvittaessa antanut henkilötietojen suojaa koskevat asianmukaiset takeet.

2.  Edellä olevan 1 kohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietojen ryhmiä. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

3.  Jos käsittely perustuu 1 kohdan h alakohtaan, rekisterinpitäjän tai henkilötietojen käsittelijän on kiinnitettävä erityistä huomiota tietojen luonteeseen sekä ehdotetun käsittelytoimen tai ehdotettujen käsittelytoimien tarkoitukseen ja kestoon sekä tilanteeseen tietojen alkuperämaassa, kolmannessa maassa ja lopullisessa kohdemaassa, ja annettava tarvittaessa henkilötietojen suojaa koskevat asianmukaiset takeet.

4.  Edellä olevan 1 kohdan b, c ja h b ja c alakohtaa ei sovelleta toimiin, joita viranomaiset suorittavat osana julkisen vallan käyttöä.

5.  Edellä 1 kohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin lainsäädännössä tai sen jäsenvaltion lainsäädännössä, jota rekisterinpitäjään sovelletaan.

6.  Rekisterinpitäjän tai henkilötietojen käsittelijän on tallennettava sekä arviointi että tämän artiklan 1 kohdan h alakohdassa tarkoitetut asianmukaiset takeet 28 artiklassa tarkoitettuihin asiakirjoihin ja ilmoitettava siirrosta valvontaviranomaiselle.

7.  Siirretään komissiolle valta Annetaan Euroopan tietosuojaneuvostolle tehtäväksi antaa 86 suuntaviivat, suositukset ja parhaat käytännöt 66 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan d alakohdassa tarkoitetut tärkeät julkista etua b alakohdan mukaisesti, jotta voidaan määritellä tarkemmin tietosiirtoja koskevat syyt sekä 1 kohdan h alakohdassa tarkoitettuja asianmukaisia takeita koskevat kriteerit ja vaatimukset 1 kohdan mukaisesti. [tark. 141]

45 artikla

Kansainvälinen yhteistyö henkilötietojen suojaamiseksi

1.  Komission ja valvontaviranomaisten on toteutettava kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla:

a)  kehitetään tehokkaita kansainvälisiä yhteistyökeinoja, joilla edistetään taataan henkilötietojen suojaamista koskevan lainsäädännön täytäntöönpanoa täytäntöönpano; [tark. 142]

b)  tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi ilmoittamalla tapauksista, siirtämällä valituksia, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen että on annettu asianmukaiset takeet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja ‑vapauksia;

c)  saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

d)  edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytänteiden vaihtamista ja dokumentointia;

d a)  selkeytetään oikeudellisia ristiriitoja kolmansien maiden kanssa ja neuvotellaan niistä. [tark. 143]

2.  Komissio toteuttaa 1 artiklan soveltamista varten asianmukaiset toimet edistääkseen suhteita kolmansiin maihin tai kansainvälisiin järjestöihin ja erityisesti niiden valvontaviranomaisiin, jos komissio on päättänyt, että ne tarjoavat 41 artiklan 3 kohdassa tarkoitetun riittävän tasoisen tietosuojan.

45 a artikla

Komission kertomus

Komissio toimittaa Euroopan parlamentille ja neuvostolle säännöllisesti kertomuksen 40–45 artiklan soveltamisesta. Ensimmäinen kertomus toimitetaan viimeistään neljä vuotta 91 artiklan 1 kohdassa mainitun päivämäärän jälkeen. Tätä varten komissio voi pyytää jäsenvaltioilta ja valvontaviranomaisilta tietoja, jotka on toimitettava ilman aiheetonta viivytystä. Kertomus julkaistaan. [tark. 144]

VI LUKU

RIIPPUMATTOMAT VALVONTAVIRANOMAISET

1 JAKSO

RIIPPUMATON ASEMA

46 artikla

Valvontaviranomainen

1.  Jäsenvaltioiden on säädettävä, että yhden tai useamman viranomaisen on seurattava tämän asetuksen soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi unionissa. Näitä tarkoituksia varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa.

2.  Jos jäsenvaltiossa on useampi kuin yksi valvontaviranomainen, jäsenvaltion on nimettävä valvontaviranomainen, joka toimii yhteyspisteenä viranomaisten osallistuessa Euroopan tietosuojaneuvostoon, ja perustettava mekanismi sen varmistamiseksi, että muut valvontaviranomaiset noudattavat 57 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin liittyviä sääntöjä.

3.  Jäsenvaltioiden on toimitettava tämän luvun perusteella antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

47 artikla

Riippumattomuus

1.  Tämän asetuksen VII luvun mukaisista yhteistyöhön ja yhdenmukaisuuteen liittyvistä menettelyistä huolimatta valvontaviranomainen hoitaa tehtäviään ja käyttää sille annettuja valtuuksia täysin riippumattomasti ja puolueettomasti. [tark. 145]

2.  Valvontaviranomaisen jäsenet eivät tehtäviään hoitaessaan pyydä eivätkä ota ohjeita miltään taholta.

3.  Valvontaviranomaisen jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta ammattitoimintaa.

4.  Valvontaviranomaisen jäsenten on toimikautensa päättymisen jälkeen osoitettava kunniallisuutta ja arvostelukykyä nimitysten ja etujen vastaanottamisessa.

5.  Jäsenvaltioiden on varmistettava, että valvontaviranomaiselle osoitetaan riittävät tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen Euroopan tietosuojaneuvoston toimintaan.

6.  Jäsenvaltioiden on varmistettava, että valvontaviranomaisella on oma henkilöstö, jonka nimittämisestä ja valvonnasta vastaa valvontaviranomaisen päällikkö.

7.  Jäsenvaltioiden on varmistettava, että valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen. Jäsenvaltioiden on varmistettava, että valvontaviranomaisella on erillinen vuotuinen talousarvio. Talousarvio on julkistettava.

7 a.  Jäsenvaltioiden on varmistettava, että valvontaviranomainen on vastuussa kansalliselle parlamentille talousarvion valvontaan liittyvistä syistä. [tark. 146]

48 artikla

Valvontaviranomaisen jäseniä koskevat yleiset edellytykset

1.  Jäsenvaltioiden on säädettävä, että valvontaviranomaisen jäsenet nimittää joko jäsenvaltion parlamentti tai hallitus.

2.  Jäsenet valitaan sellaisten henkilöiden joukosta, joiden riippumattomuudesta ei ole epäilystä ja joilla on yleisesti tunnustettu kokemus ja pätevyys erityisesti henkilötietojen suojaa koskevien tehtävien hoitamiseen.

3.  Jäsenen tehtävät päättyvät toimikauden päättyessä tai kun hän eroaa tai kun hänet erotetaan 5 kohdan mukaisesti.

4.  Kansallinen tuomioistuin voi erottaa jäsenen tai lakkauttaa tältä oikeuden eläkkeeseen tai muihin vastaaviin etuuksiin, jos hän ei enää täytä niitä vaatimuksia, joita hänen tehtävänsä edellyttävät, tai jos hän on syyllistynyt vakavaan virheeseen.

5.  Kun toimikausi päättyy tai jäsen eroaa tehtävästään, hän jatkaa kuitenkin tehtävässään, kunnes uusi jäsen on nimitetty.

49 artikla

Valvontaviranomaisen perustamista koskevat säännöt

Jäsenvaltioiden on säädettävä laissa tässä asetuksessa asetetuissa rajoissa

a)  valvontaviranomaisen perustamisesta ja asemasta;

b)  valvontaviranomaisen jäsenten tehtävien hoitamiseen tarvittavasta pätevyydestä, kokemuksesta ja ammattitaidosta;

c)  valvontaviranomaisen jäsenten nimittämiseen sovellettavista säännöistä ja menettelyistä sekä tehtävien hoitamisen kanssa yhteensopimatonta toimintaa tai ammattia koskevista säännöistä;

d)  valvontaviranomaisen jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta, lukuun ottamatta ensimmäistä nimitystä tämän asetuksen voimaantulon jälkeen, jolloin osa jäsenistä voidaan nimittää tehtävään lyhyemmäksi ajaksi, jos tämä on tarpeen valvontaviranomaisen riippumattomuuden suojaamiseksi porrastetun nimittämismenettelyn avulla;

e)  siitä, voidaanko valvontaviranomaisen jäsenet nimetä uudeksi toimikaudeksi;

f)  valvontaviranomaisen jäsenten ja henkilöstön tehtäviä koskevista säännöistä ja yhteisistä edellytyksistä;

g)  valvontaviranomaisen jäsenten tehtävien päättymistä koskevista säännöistä ja menettelyistä, mukaan lukien tapaukset, joissa jäsen ei enää täytä tehtävien suorittamiseen tarvittavia edellytyksiä tai on syyllistynyt vakavaan virheeseen.

50 artikla

Vaitiolovelvollisuus

Valvontaviranomaisen jäsenillä ja henkilöstöllä on sekä toimikautensa aikana että sen jälkeen velvollisuus pitää kansallisen lainsäädännön ja käytäntöjen mukaisesti salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä suorittamisen yhteydessä, ja heidän on suoritettava tehtävänsä riippumattomasti ja läpinäkyvästi tämän asetuksen mukaisesti. [tark. 147]

2 JAKSO

TOIMIVALTA JA TEHTÄVÄT

51 artikla

Toimivalta

1.  Jokainen valvontaviranomainen käyttää on toimivaltainen hoitamaan tehtäviä ja käyttämään sille tämän asetuksen mukaisesti annettua toimivaltaa oman jäsenvaltionsa alueella, sanotun kuitenkaan rajoittamatta 73 ja 74 artiklan soveltamista. Ainoastaan kyseisen jäsenvaltion valvontaviranomainen valvoo viranomaisen tietojenkäsittelyä. [tark. 148]

2.  Jos henkilötietojen käsittely suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa, ja kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon, rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan valvontaviranomaisella on toimivalta valvoa rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintaa kaikissa jäsenvaltioissa, tämän asetuksen VII luvun säännösten soveltamista kuitenkaan rajoittamatta. [tark. 149]

3.  Valvontaviranomaisella ei ole toimivaltaa valvoa käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä.

52 artikla

Tehtävät

1.  Valvontaviranomainen

a)  valvoo tämän asetuksen soveltamista ja varmistaa sen;

b)  käsittelee rekisteröidyn tai tätä 73 artiklan mukaisesti edustavan mukaisen yhdistyksen tekemiä valituksia, tutkii mahdollisuuksien mukaan asiaa ja ilmoittaa rekisteröidylle tai yhdistykselle asian etenemisestä sekä valitusta koskevasta ratkaisustaan kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa; [tark. 150]

c)  jakaa tietoa ja tarjoaa keskinäistä apua muille valvontaviranomaisille ja varmistaa tämän asetuksen johdonmukaisen soveltamisen täytäntöönpanon;

d)  suorittaa tutkimuksia omasta aloitteestaan tai valituksen tai väitetysti lainvastaisesta käsittelystä saatujen tarkkojen ja dokumentoitujen tietojen perusteella tai toisen valvontaviranomaisen pyynnöstä ja, jos rekisteröity on tehnyt valituksen tälle valvontaviranomaiselle, ilmoittaa rekisteröidylle tutkimusten tuloksesta kohtuullisen ajan kuluessa; [tark. 151]

e)  seuraa erityisesti tieto- ja viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä, siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;

f)  esittää jäsenvaltioiden toimielimille ja elimille näkemyksiään yksilön oikeuksien ja vapauksien suojelua henkilötietojen käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

g)  antaa lausuntoja hyväksyy 34 artiklassa tarkoitetut tarkoitetuista käsittelytoimet käsittelytoimista ja antaa niistä lausuntoja;

h)  antaa lausunnon käytännesääntöjen luonnoksista 38 artiklan 2 kohdan mukaisesti;

i)  hyväksyy yritystä koskevat sitovat säännöt 43 artiklan mukaisesti;

j)  osallistuu Euroopan tietosuojaneuvoston toimintaan

j a)  myöntää sertifioinnin rekisterinpitäjille ja henkilötietojen käsittelijöille 39 artiklan mukaisesti. [tark. 152]

2.  Kaikkien valvontaviranomaisten on edistettävä henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, takeista ja oikeuksista ja henkilötietosuojaa koskevista toimenpiteistä tiedottamista kansalaisille. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin. [tark. 153]

2 a.  Kaikkien valvontaviranomaisten on yhdessä Euroopan tietosuojaneuvoston kanssa edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, takeista ja oikeuksista. Tämä kattaa seuraamusten ja rikkomisten rekisterin pitämisen. Rekisterissä olisi oltava sekä kaikki varoitukset ja seuraamukset mahdollisimman yksityiskohtaisesti että rikkomusten ratkaisu. Jokaisen valvontaviranomaisen on annettava mikroyritysten ja pienten ja keskisuurten yritysten rekisterinpitäjille ja henkilötietojen käsittelijöille pyynnöstä yleisiä tietoja niiden vastuista ja velvollisuuksista tämän asetuksen mukaisesti. [tark. 154]

3.  Valvontaviranomaisen on pyynnöstä autettava rekisteröityä käyttämään tässä asetuksessa vahvistettuja oikeuksia ja tarvittaessa tehtävä tätä varten yhteistyötä muiden jäsenvaltioiden valvontaviranomaisten kanssa.

4.  Kun on kyse 1 kohdan b alakohdassa tarkoitetuista valituksista, valvontaviranomaisen on toimitettava valituslomake, joka voidaan täyttää sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

5.  Valvontaviranomaisen tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle.

6.  Jos pyynnöt ovat ilmeisen kohtuuttomia erityisesti toistuvuutensa takia, valvontaviranomainen voi periä kohtuullisen maksun pyydetyn toimen suorittamisesta tai jättää pyydetyn toimen suorittamatta. Kyseinen maksu ei saa ylittää pyydetyn toimen suorittamisesta aiheutuvia kustannuksia. Valvontaviranomaisen on todistettava pyynnön kohtuuttomuus. [tark. 155]

53 artikla

Valtuudet

1.  Jokaisella valvontaviranomaisella on tämän asetuksen nojalla valtuudet:

a)  ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle henkilötietojen käsittelyä koskevien sääntöjen väitetystä rikkomisesta ja tarvittaessa määrätä rekisterinpitäjä tai henkilötietojen käsittelijä korjaamaan tämä rikkominen määrätyllä tavalla rekisteröidyn suojelun parantamiseksi tai velvoittaa rekisterinpitäjä ilmoittamaan henkilötietojen käsittelyä koskevasta rikkomisesta rekisteröidylle;

b)  määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien oikeuksien käyttöä;

c)  määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa näiden edustaja antamaan tehtäviensä suorittamiseen liittyvät tarvittavat tiedot;

d)  varmistaa 34 artiklassa tarkoitetun ennakkohyväksynnän ja ennakkokuulemisen noudattaminen;

e)  antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle varoitus tai huomautus;

f)  määrätä sellaisten tietojen oikaisemisesta, poistamisesta tai tuhoamisesta, joita on käsitelty tämän asetuksen säännösten vastaisesti, sekä näistä toimenpiteistä ilmoittamisesta niille kolmansille osapuolille, joille tietoja on luovutettu;

g)  kieltää käsittely väliaikaisesti tai lopullisesti;

h)  keskeyttää tiedonsiirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle;

i)  antaa lausuntoja kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

i a)  myöntää sertifioinnin rekisterinpitäjille ja henkilötietojen käsittelijöille 39 artiklan mukaisesti;

j)  tiedottaa kansalliselle parlamentille, hallitukselle tai muille poliittisille elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

j a)  toteuttaa tehokkaita mekanismeja asetuksen rikkomista koskevan luottamuksellisen raportoinnin kannustamiseksi Euroopan tietosuojaneuvoston 66 artiklan 4 b kohdan mukainen ohjeistus huomioon ottaen.

2.  Jokaisella valvontaviranomaisella on tutkintavaltuudet saada rekisterinpitäjältä tai henkilötietojen käsittelijältä ilman ennakkoilmoitusta:

a)  pääsy kaikkiin henkilötietoihin ja kaikkiin asiakirjoihin ja tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten;

b)  pääsy kaikkiin sen tiloihin, tietojenkäsittelylaitteet ja ‑keinot mukaan lukien, jos on kohtuulliset perusteet olettaa, että siellä suoritetaan tämän asetuksen vastaista toimintaa.

Edellä b alakohdassa tarkoitettuja valtuuksia on käytettävä unionin ja jäsenvaltion lainsäädännön mukaisesti.

3.  Jokaisella valvontaviranomaisella on valtuudet saattaa tämän asetuksen vastaiset toimet lainkäyttöviranomaisten tietoon ja käynnistää oikeustoimet, erityisesti 74 artiklan 4 kohdan ja 75 artiklan 2 kohdan mukaisesti.

4.  Jokaisella valvontaviranomaisella on valtuudet määrätä hallinnollisia seuraamuksia, erityisesti 79 artiklan 4–6 kohdassa tarkoitettuja seuraamuksia mukaisesti. Näitä valtuuksia olisi käytettävä tehokkaasti, oikeasuhteisesti ja varoittavasti. [tark. 156]

54 artikla

Toimintakertomus

Jokaisen valvontaviranomaisen on laadittava vuosittain vähintään toimintakertomus joka toinen vuosi. Kertomus esitetään kansalliselle kyseiselle parlamentille ja toimitetaan yleisön, komission komissiolle ja Euroopan tietosuojaneuvoston saataville tietosuojaneuvostolle. [tark. 157]

54 a artikla

Johtava viranomainen

1.  Jos henkilötietojen käsittely suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa, ja kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon tai jos käsitellään useiden jäsenvaltioiden asukkaiden henkilötietoja, rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan valvontaviranomainen on rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoiminnan valvonnasta vastaava johtava viranomainen kaikissa jäsenvaltioissa tämän asetuksen VII luvun säännösten mukaisesti.

2.  Johtavan viranomaisen on toteutettava asianmukaisia toimia vastuullaan olevan rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimien valvomiseksi vasta kuultuaan 51 artiklan 1 kohdassa tarkoitettuja muita toimivaltaisia valvontaviranomaisia pyrittäessä pääsemään konsensukseen. Sitä varten johtavan viranomaisen on erityisesti toimitettava kaikki asianomaiset tiedot ja kuultava muita viranomaisia ennen sellaisten toimenpiteiden hyväksymistä, joiden tarkoituksena on tuottaa rekisterinpitäjään tai henkilötietojen käsittelijään kohdistuvia oikeusvaikutuksia 51 artiklan 1 kohdan mukaisesti. Johtavan viranomaisen on otettava huomioon asianomaisten viranomaisten mielipiteet mahdollisimman suuressa määrin. Johtava viranomainen on ainoa viranomainen, jolla on valtuudet päättää toimista, joiden on tarkoitus tuottaa vastuullaan olevan rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimiin kohdistuvia oikeusvaikutuksia.

3.  Euroopan tietosuojaneuvoston on toimivaltaisen valvontaviranomaisen pyynnöstä annettava lausunto rekisterinpitäjästä tai henkilötietojen käsittelijästä vastuussa olevan johtavan viranomaisen määrittelystä, mikäli

a)  tapauksen tosiseikkojen perusteella on epäselvää, missä rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikka sijaitsee; tai

b)  toimivaltaiset viranomaiset eivät pääse yhteisymmärrykseen siitä, mikä toimivaltainen valvontaviranomainen on johtava viranomainen; tai

c)  rekisterinpitäjä on sijoittautunut unionin ulkopuolelle, ja tämän asetuksen mukaiset käsittelytoimet vaikuttavat eri jäsenvaltioiden asukkaisiin.

3 a.  Jos rekisterinpitäjä toteuttaa myös henkilötietojen käsittelijän tehtäviä, rekisterinpitäjän päätoimipaikan valvontaviranomainen on johtava viranomainen käsittelytoiminnan valvonnan osalta.

4.  Euroopan tietosuojaneuvosto voi päättää johtavan viranomaisen nimeämisestä. [tark. 158]

VII LUKU

YHTEISTYÖ JA YHDENMUKAISUUS

1 jakso

Yhteistyö

55 artikla

Keskinäinen avunanto

1.  Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkokuulemista ennakkohyväksyntää ja -kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt, sekä nopea tiedottaminen tutkimusten aloittamisesta ja niiden etenemisestä, jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat useissa eri jäsenvaltioissa asuviin rekisteröityihin. Edellä 54 a artiklassa määritellyn johtavan viranomaisen on varmistettava asianomaisten valvontaviranomaisten välinen koordinointi sekä toimittava rekisterinpitäjän tai henkilötietojen käsittelijän yhteyspisteenä. [tark. 159]

2.  Valvontaviranomaisten on toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön viipymättä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voivat kuulua erityisesti tietojen välittäminen vireillä olevasta tutkimuksesta tai täytäntöönpanotoimista tämän asetuksen vastaisten käsittelytoimien keskeyttämistä tai kieltämistä varten.

3.  Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja syy sen esittämiseen. Tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4.  Valvontaviranomainen, jolle avunantopyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain jos

a)  sillä ei ole pyynnön edellyttämää toimivaltaa; tai

b)  pyynnön noudattaminen olisi ristiriidassa tämän asetuksen säännösten kanssa.

5.  Pyynnön vastaanottanut valvontaviranomainen ilmoittaa pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyynnön täyttämiseksi toteutetuista toimenpiteistä.

6.  Valvontaviranomaisten on toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisessä muodossa ja mahdollisimman nopeasti, vakiolomaketta käyttäen.

7.  Keskinäistä avunantoa koskevien pyyntöjen perusteella toteutettavista toimista ei pyynnön esittäneeltä valvontaviranomaiselta peritä maksua. [tark. 160]

8.  Jos valvontaviranomainen ei vastaa toisen valvontaviranomaisen esittämään pyyntöön kuukauden kuluessa, pyynnön esittävällä valvontaviranomaisella on toimivalta toteuttaa väliaikainen toimenpide oman jäsenvaltionsa alueella 51 artiklan 1 kohdan mukaisesti, ja sen on esitettävä asia Euroopan tietosuojaneuvostolle 57 artiklassa tarkoitetun menettelyn mukaisesti. Se voi ryhtyä oman jäsenvaltionsa alueella 53 artiklan mukaisiin väliaikaisiin toimenpiteisiin, mikäli vielä päättymättömän avunannon takia lopullista toimenpidettä ei voida vielä toteuttaa. [tark. 161]

9.  Valvontaviranomaisen on täsmennettävä tällaisen väliaikaisen toimenpiteen voimassaoloaika. Tämä voimassaoloaika saa olla enintään kolme kuukautta. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle 57 artiklassa tarkoitetun menettelyn mukaisesti [tark. 162].

10.  Komissio Euroopan tietosuojaneuvosto voi vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja Euroopan tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 163]

56 artikla

Valvontaviranomaisten yhteiset operaatiot

1.  Yhteistyön ja keskinäisen avunannon tehostamiseksi valvontaviranomaisten on toteutettava yhteisiä tutkintatehtäviä, yhteisiä täytäntöönpanotoimenpiteitä ja muita yhteisiä operaatioita, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten nimitettyjä jäseniä tai muuta henkilöstöä.

2.  Jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat useissa eri jäsenvaltioissa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin tutkintatehtäviin tai yhteisiin operaatioihin. Toimivaltainen valvontaviranomainen Edellä 54 a artiklassa määritelty johtava viranomainen kutsuu kunkin tällaisen jäsenvaltion valvontaviranomaisen osallistumaan yhteisiin tutkintatehtäviin tai yhteisiin operaatioihin ja vastaa operaatioihin osallistumista koskeviin valvontaviranomaisten pyyntöihin viipymättä. Johtava viranomainen toimii rekisterinpitäjän tai henkilötietojen käsittelijän yhteyspisteenä. [tark. 164]

3.  Jokainen valvontaviranomainen voi johtavana valvontaviranomaisena toimiessaan oman kansallisen lainsäädäntönsä mukaisesti ja avustavan valvontaviranomaisen hyväksynnän perusteella luovuttaa täytäntöönpanovaltuuksia, kuten tutkintatehtäviä, yhteisiin operaatioihin osallistuvan avustavan valvontaviranomaisen jäsenelle tai henkilöstölle, tai siltä osin kuin se on mahdollista johtavan valvontaviranomaisen lainsäädännön puitteissa, sallia avustavan valvontaviranomaisen jäsenten tai henkilöstön käyttää täytäntöönpanovaltuuksiaan avustavan valvontaviranomaisen lainsäädännön mukaisesti. Näitä täytäntöönpanovaltuuksia voidaan käyttää ainoastaan johtavan valvontaviranomaisen jäsenten tai henkilöstön johdolla ja pääsääntöisesti heidän läsnä ollessaan. Avustavan valvontaviranomaisen jäseniin tai henkilöstöön sovelletaan johtavan valvontaviranomaisen kansallista lainsäädäntöä. Johtava valvontaviranomainen on vastuussa heidän toimistaan.

4.  Valvontaviranomaisten on vahvistettava erityisiä yhteistyötoimia koskevat käytännön järjestelyt.

5.  Jos valvontaviranomainen ei noudata 2 kohdassa säädettyä velvollisuutta kuukauden kuluessa, muilla valvontaviranomaisilla on toimivalta toteuttaa väliaikainen toimenpide oman jäsenvaltionsa alueella 51 artiklan 1 kohdan mukaisesti.

6.  Valvontaviranomaisen on täsmennettävä 5 kohdassa tarkoitetun väliaikaisen toimenpiteen voimassaoloaika. Tämä voimassaoloaika saa olla enintään kolme kuukautta. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle ja toimitettava asia käsiteltäväksi 57 artiklassa tarkoitetussa mekanismissa.

2 JAKSO

YHDENMUKAISUUS

57 artikla

Yhdenmukaisuusmekanismi

Valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa tässä jaksossa perustettavan yhdenmukaisuusmekanismin välityksellä 46 artiklan 1 kohdassa esitettyjä tarkoituksia varten sekä yleisluonteisissa asioissa että yksittäisissä tapauksissa tämän jakson säännösten mukaisesti. [tark. 165]

58 artikla

Euroopan tietosuojaneuvoston lausunto Yhdenmukaisuus yleisluonteisissa asioissa

1.  Ennen kuin valvontaviranomainen hyväksyy 2 kohdassa tarkoitetun toimenpiteen, sen on annettava toimenpideluonnos tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle.

2.  Edellä 1 kohdassa säädettyä velvollisuutta sovelletaan toimenpiteisiin, joiden tarkoituksena on tuottaa oikeusvaikutuksia ja

a)  jotka koskevat käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seuraamiseen; tai

b)  jotka saattavat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa; tai

c)  joiden tarkoituksena on hyväksyä luettelo käsittelytoimista, jotka edellyttävät 34 artiklan 5 kohdassa tarkoitettua ennakkokuulemista; tai

d)  joiden tarkoituksena on 42 artiklan 2 kohdan c alakohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden määrittäminen; tai

e)  joiden tarkoituksena on 42 artiklan 2 kohdan d alakohdassa tarkoitettujen sopimuslausekkeiden hyväksyminen; tai

f)  joiden tarkoituksena on 43 artiklassa tarkoitettujen yritystä koskevien sitovien sääntöjen hyväksyminen.

3.  Jokainen valvontaviranomainen tai Euroopan tietosuojaneuvosto voi pyytää minkä tahansa yleisluonteisen asian käsittelyä yhdenmukaisuusmekanismissa, etenkin jos valvontaviranomainen ei toimita 2 kohdassa tarkoitettua toimenpideluonnosta tai ei noudata keskinäistä avunantoa koskevia velvollisuuksia 55 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 56 artiklan mukaisesti.

4.  Komissio voi pyytää minkä tahansa yleisluonteisen asian käsittelyä yhdenmukaisuusmekanismissa tämän asetuksen asianmukaisen ja yhtenäisen soveltamisen varmistamiseksi.

5.  Valvontaviranomaisten ja komission on toimitettava ilman aiheetonta viivytystä sähköisesti kaikki tarvittavat tiedot, tarpeen vaatiessa esimerkiksi yhteenveto tosiseikoista, toimenpideluonnos sekä perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, vakiomuodossa.

6.  Euroopan tietosuojaneuvoston puheenjohtajan on ilmoitettava Euroopan tietosuojaneuvoston jäsenille ja komissiolle välittömästi ilman aiheetonta viivästystä sähköisesti kaikista sille toimitetuista asiaa koskevista tiedoista vakiolomaketta käyttäen. Euroopan tietosuojaneuvoston puheenjohtaja sihteeristö toimittaa tarvittaessa myös käännöksen näistä tiedoista.

6 a.  Euroopan tietosuojaneuvosto on annettava lausunto 2 kohdassa tarkoitetuista asioista.

7.  Euroopan tietosuojaneuvosto antaa asiasta lausuntonsa viikon kuluessa siitä, kun asiaa koskevat tiedot on toimitettu sille 5 kohdan mukaisesti, jos Euroopan tietosuojaneuvosto niin voi päättää jäsentensä yksinkertaisella enemmistöllä, tai jos joku valvontaviranomainen tai komissio sitä pyytää. Lausunto on vahvistettava kuukauden kuluessa Euroopan tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä. Euroopan tietosuojaneuvoston puheenjohtaja antaa lausunnon ilman aiheetonta viivytystä tiedoksi 1 tai 3 kohdassa tarkoitetulle valvontaviranomaiselle, komissiolle ja 51 artiklan nojalla toimivaltaiselle valvontaviranomaiselle sekä julkaisee sen. antaako se lausunnon 3 ja 4 kohdan mukaisesti käsiteltäväksi annetuista asioista ottaen huomioon:

a)  onko asiassa uusia elementtejä ottaen huomioon oikeudellinen tai tilanteen kehitys ja erityisesti tietotekniikassa ja tietoyhteiskunnassa tapahtuvan kehityksen; ja

b)  onko Euroopan tietosuojaneuvosto jo antanut lausunnon samasta asiasta.

8.  Edellä 1 kohdassa tarkoitettu valvontaviranomainen ja 51 artiklan nojalla toimivaltainen valvontaviranomainen ottavat huomioon Euroopan tietosuojaneuvoston lausunnon ja ilmoittavat Euroopan tietosuojaneuvoston puheenjohtajalle ja komissiolle sähköisesti kahden viikon kuluessa siitä, kun Euroopan tietosuojaneuvoston puheenjohtaja on antanut lausunnon tiedoksi, pitäytyvätkö ne toimenpideluonnokseen vai muuttavatko ne sitä, ja toimittavat näille mahdollisesti muutetun toimenpideluonnoksen vakiomuodossa. Euroopan tietosuojaneuvosto antaa lausuntonsa 6 a ja 7 artiklan nojalla jäsentensä yksinkertaisella enemmistöllä. Lausunnot julkistetaan. [tark. 166]

58 a artikla

Yhdenmukaisuus yksittäisissä tapauksissa

1.  Johtavan viranomaisen on jaettava kaikki asiaa koskevat tiedot ja toimitettava toimenpideluonnos kaikille muille toimivaltaisille viranomaisille ennen sellaisen toimenpiteen toteuttamista, jonka tarkoituksena on tuottaa oikeusvaikutuksia 54 a artiklan mukaisesti. Johtava viranomainen ei saa hyväksyä toimenpidettä, jos toimivaltainen viranomainen on kolmen viikon kuluessa ilmoittanut vastustavansa toimenpidettä painokkaasti.

2.  Jos toimivaltainen viranomainen on ilmoittanut vastustavansa johtavan viranomaisen toimenpideluonnosta painokkaasti tai jos johtava viranomainen ei toimita 1 kohdassa tarkoitettua toimenpideluonnosta taikka ei noudata keskinäistä avunantoa koskevia velvollisuuksia 55 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 56 artiklan mukaisesti, Euroopan tietoturvaneuvoston on käsiteltävä asia.

3.  Johtavan viranomaisen ja/tai muiden toimivaltaisten viranomaisten ja komission on toimitettava Euroopan tietoturvaneuvostolle vakiomuodossa ilman aiheetonta viivytystä sähköisesti kaikki tarvittavat tiedot, tapauskohtaisesti esimerkiksi yhteenveto tosiseikoista, toimenpideluonnos, perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, sekä sitä koskevat vastalauseet ja muiden asianomaisten valvontaviranomaisten näkemykset.

4.  Euroopan tietosuojaneuvoston on käsiteltävä asia ottaen huomioon johtavan viranomaisen toimenpideluonnoksen vaikutukset rekisteröityjen perusoikeuksiin ja vapauksiin ja päätettävä jäsentensä yksinkertaisella enemmistöllä, antaako se lausunnon asiasta kahden viikon kuluessa siitä, kun asiaa koskevat tiedot on toimitettu sille 3 kohdan mukaisesti.

5.  Jos Euroopan tietosuojaneuvosto päättää antaa lausunnon, se on annettava lausunto kuuden viikon kuluessa ja julkistettava se.

6.  Johtavan viranomaisen on otettava Euroopan tietosuojaneuvoston lausunto huomioon mahdollisimman suuressa määrin ja ilmoitettava Euroopan tietosuojaneuvoston puheenjohtajalle ja komissiolle sähköisesti kahden viikon kuluessa siitä, kun Euroopan tietosuojaneuvoston puheenjohtaja on antanut lausunnon tiedoksi, pitäytyykö se toimenpideluonnokseen vai muuttaako se sitä, ja toimittaa näille mahdollisesti muutetun toimenpideluonnoksen vakiomuodossa. Jos johtava viranomainen ei aio noudattaa Euroopan tietosuojaneuvoston lausuntoa, sen on esitettävä perusteltu selitys.

7.  Jos Euroopan tietosuojaneuvosto edelleen vastustaa 5 kohdassa tarkoitettua valvontaviranomaisen toimenpidettä, se voi kuukauden kuluessa hyväksyä valvontaviranomaista sitovan toimenpiteen, jos kahden kolmasosan enemmistö niin päättää. [tark. 167]

59 artikla

Komission lausunto

1.  Komissio voi antaa tämän asetuksen asianmukaisen ja yhtenäisen soveltamisen varmistamiseksi lausunnon 58 tai 61 artiklan nojalla esiin nostetuista asioista, kymmenen viikon kuluessa siitä, kun asia on otettu esiin 58 artiklan mukaisesti, tai kuuden viikon kuluessa siitä, kun asia on otettu esiin 61 artiklan mukaisesti.

2.  Jos komissio on antanut 1 kohdan mukaisen lausunnon, asianomaisen valvontaviranomaisen on otettava komission lausunto huomioon mahdollisimman suuressa määrin ja ilmoitettava komissiolle ja Euroopan tietosuojaneuvostolle, aikooko se pitäytyä toimenpideluonnokseen vai muuttaa sitä.

3.  Valvontaviranomainen ei saa hyväksyä toimenpideluonnosta 1 kohdassa tarkoitetun ajan kuluessa.

4.  Jos valvontaviranomainen ei aio noudattaa komission lausuntoa, sen on ilmoitettava tästä komissiolle ja Euroopan tietosuojaneuvostolle 1 kohdassa tarkoitetun määräajan kuluessa ja esitettävä perustelut. Siinä tapauksessa toimenpideluonnoksen hyväksymisestä on pidättäydyttävä vielä yhden kuukauden ajan. [tark. 168]

60 artikla

Toimenpideluonnoksen hyväksymisen keskeyttäminen

1.  Jos komissiolla on vakavia epäilyksiä sen suhteen, takaisiko toimenpideluonnos tämän asetuksen asianmukaisen soveltamisen vai johtaisiko se päinvastoin asetuksen epäyhtenäiseen soveltamiseen, se voi kuukauden kuluessa 59 artiklan 4 kohdassa tarkoitetun ilmoituksen tekemisestä antaa perustellun päätöksen, jossa se vaatii valvontaviranomaista keskeyttämään toimenpideluonnoksen hyväksymisen, ottaen huomioon Euroopan tietosuojaneuvoston 58 artiklan 7 kohdan tai 61 artiklan 2 kohdan nojalla antaman lausunnon, jos tämä näyttää olevan tarpeen, jotta voidaan

a)  sovittaa yhteen valvontaviranomaisen ja Euroopan tietosuojaneuvoston eriävät kannat, jos tämä näyttäisi olevan vielä mahdollista; tai

b)  hyväksyä toimenpide 62 artiklan 1 kohdan a alakohdan nojalla.

2.  Komissio täsmentää keskeytyksen keston, joka ei saa olla enempää kuin 12 kuukautta.

3.  Valvontaviranomainen ei saa hyväksyä toimenpideluonnosta 2 kohdassa tarkoitetun ajan kuluessa. [tark. 169]

60 a artikla

Ilmoittaminen Euroopan parlamentille ja neuvostolle

Komissio ilmoittaa Euroopan parlamentille ja komissiolle säännöllisesti ja vähintään puolen vuoden välein Euroopan tietosuojaneuvoston puheenjohtajan kertomuksen perusteella yhdenmukaisuusmekanismin puitteissa käsitellyistä asioista ja esittää tällöin komission ja Euroopan tietosuojaneuvoston tekemät johtopäätökset tämän asetuksen yhtenäisen täytäntöönpanon ja soveltamisen varmistamisesta. [tark. 170]

61 artikla

Kiireellinen menettely

1.  Poikkeuksellisissa olosuhteissa, jos valvontaviranomainen katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, valvontaviranomainen voi 58 58 a artiklassa tarkoitetusta menettelystä poiketen hyväksyä väliaikaisia toimenpiteitä, joiden voimassaoloaika määritetään erikseen, etenkin jos on olemassa vaara, että jokin vallitsevan tilanteen muutos voisi merkittävästi haitata jonkin rekisteröidyille kuuluvan oikeuden täytäntöönpanoa tai huomattavien haittojen ehkäisemiseksi tai muista syistä. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle. [tark. 171]

2.  Jos valvontaviranomainen on toteuttanut toimenpiteen 1 kohdan nojalla ja katsoo, että on kiireellisesti hyväksyttävä lopullisia toimenpiteitä, se voi pyytää Euroopan tietosuojaneuvostolta kiireellistä lausuntoa esittämällä perustelut tällaisen lausunnon pyytämiselle ja lopullisten toimenpiteiden kiireellisyydelle.

3.  Jokainen valvontaviranomainen voi pyytää kiireellistä lausuntoa, jos toimivaltainen valvontaviranomainen ei ole toteuttanut tarvittavia toimenpiteitä tilanteessa, jossa on toteutettava kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, esittämällä perustelut tällaisen lausunnon pyytämiselle ja kiireellisten toimenpiteiden toteuttamiselle.

4.  Tämän artiklan 2 ja 3 kohdassa tarkoitettu kiireellinen lausunto hyväksytään 58 artiklan 7 kohdasta poiketen kahden viikon kuluessa Euroopan tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä. [tark. 172]

62 artikla

Täytäntöönpanosäädökset

1.  Komissio antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen soveltamisalaltaan yleisiä täytäntöönpanosäädöksiä, joissa

a)  säädetään tämän asetuksen asianmukaisesta soveltamisesta sen tavoitteiden ja vaatimusten mukaisesti ja jotka koskevat valvontaviranomaisten 58 tai 61 artiklan nojalla ilmoittamia asioita, asiaa josta on annettu perusteltu päätös 60 artiklan 1 kohdan nojalla, tai asiaa, jonka osalta valvontaviranomainen ei ole esittänyt toimenpideluonnosta, vaan on ilmoittanut, ettei aio noudattaa komission 59 artiklan nojalla antamaa lausuntoa;

b)  se päättää 59 artiklan 1 kohdassa tarkoitetussa määräajassa 58 42 artiklan 2 kohdan d alakohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden yleisestä pätevyydestä;

c)  täsmennetään muoto ja menettelyt tässä jaksossa tarkoitetun yhdenmukaisuusmenettelyn soveltamista varten;

d)  täsmennetään järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja Euroopan tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten ja erityisesti 58 artiklan 5, 6 ja 8 kohdassa tarkoitettu vakiolomake.

Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

2.  Komissio hyväksyy asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa, jotka liittyvät 1 kohdan a alakohdassa tarkoitettuihin toimenpiteisiin, välittömästi sovellettavia täytäntöönpanosäädöksiä 87 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen. Näiden toimenpiteiden voimassaoloaika ei saa olla enempää kuin 12 kuukautta.

3.  Se, annetaanko tämän jakson mukaisesti toimenpiteitä, ei vaikuta muihin toimenpiteisiin, joita komissio antaa perussopimusten mukaisesti. [tark. 173]

63 artikla

Täytäntöönpano

1.  Jonkin jäsenvaltion valvontaviranomaisen hyväksymä täytäntöönpanokelpoinen toimenpide on tämän asetuksen tarkoitusten toteuttamista varten pantava täytäntöön kaikissa jäsenvaltioissa, joita asia koskee.

2.  Jos valvontaviranomainen ei esitä toimenpideluonnosta yhdenmukaisuusmekanismissa käsiteltäväksi, mikä on vastoin 58 artiklan 1–5 1 ja 2 kohdan säännöksiä, tai hyväksyy toimenpiteen, vaikka sitä on vastustettu 58 a artiklan 1 kohdan nojalla, kyseinen valvontaviranomaisen toimenpide ei ole oikeudellisesti pätevä eikä täytäntöönpanokelpoinen. [tark. 174]

3 JAKSO

EUROOPAN TIETOSUOJANEUVOSTO

64 artikla

Euroopan tietosuojaneuvosto

1.  Perustetaan Euroopan tietosuojaneuvosto.

2.  Euroopan tietosuojaneuvoston muodostavat yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta ja Euroopan tietosuojavaltuutettu.

3.  Jos jäsenvaltiossa on useampia tietosuojaviranomaisia, jotka vastaavat tämän asetuksen säännösten soveltamisen valvonnasta, näiden valvontaviranomaisten yhteiseksi edustajaksi nimitetään joku niiden johtajista.

4.  Komissiolla on oikeus osallistua Euroopan tietosuojaneuvoston toimintaan ja kokouksiin ja nimittää sinne edustaja. Euroopan tietosuojaneuvoston puheenjohtaja ilmoittaa viipymättä komissiolle kaikesta Euroopan tietosuojaneuvoston toiminnasta.

65 artikla

Riippumattomuus

1.  Euroopan tietosuojaneuvosto hoitaa 66 ja 67 artiklan mukaisia tehtäviään riippumattomasti.

2.  Euroopan tietosuojaneuvosto ei tehtäviään hoitaessaan pyydä eikä ota ohjeita miltään taholta, sanotun rajoittamatta 66 artiklan 1 ja 2 kohdan b alakohdassa tarkoitettuja komission pyyntöjä.

66 artikla

Euroopan tietosuojaneuvoston tehtävät

1.  Euroopan tietosuojaneuvosto varmistaa tämän asetuksen yhdenmukaisen soveltamisen. Tätä varten Euroopan tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai Euroopan parlamentin, neuvoston tai komission pyynnöstä erityisesti seuraavia tehtäviä:

a)  antaa komissiolle unionin toimielimille neuvoja kaikissa henkilötietojen suojaan unionissa liittyvissä kysymyksissä, myös tämän asetuksen mahdollisessa muuttamisessa;

b)  tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai Euroopan parlamentin, neuvoston tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa valvontaviranomaisille osoitettuja suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista, mukaan lukien täytäntöönpanovaltuuksien käyttö;

c)  tarkastelee b alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön ja raportoi asiasta komissiolle säännöllisesti;

d)  antaa lausuntoja valvontaviranomaisten päätösluonnoksista 57 artiklassa tarkoitetun mekanismin mukaisesti;

d a)  antaa lausunnon, jonka mukaan viranomaisen on oltava johtava viranomainen 54 a artiklan 3 kohdan mukaisesti;

e)  edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja käytänteiden vaihtamista, mukaan lukien yhden tai useamman valvontaviranomaisen pyyntöön perustuvat, yhteisten operaatioiden ja muiden yhteisten toimien koordinointia koskevat päätökset;

f)  edistää yhteisiä koulutusohjelmia ja tukee henkilövaihtoa valvontaviranomaisten välillä sekä tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

g)  edistää tietosuojalainsäädäntöä ja käytänteitä koskevien tietojen ja asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa;

g a)  antaa lausunnon komissiolle tämän asetuksen perusteella valmisteltavista täytäntöönpanosäädöksistä ja delegoiduista säädöksistä;

g b)  antaa lausunnon unionin tasolla 38 artiklan 4 kohdan mukaisesti laadituista käytännesäännöistä;

g c)  antaa lausunnon 39 artiklan 2 kohdan mukaisesti laadittujen tietosuojaa koskevien sertifiointimekanismien kriteereistä ja vaatimuksista;

g d)  ylläpitää julkista sähköistä rekisteriä voimassa olevista ja pätemättömistä sertifioinneista 39 artiklan 1 h kohdan mukaisesti;

g e)  avustaa kansallisia valvontaviranomaisia niiden pyynnöstä;

g f)  laatia ja julkistaa luettelon käsittelytoimista, jotka edellyttävät 34 artiklassa tarkoitettua ennakkokuulemista;

g g)  ylläpitää rekisteriä seuraamuksista, joita valvontaviranomaiset ovat määränneet rekisterinpitäjille tai henkilötietojen käsittelijöille..

2.  Jos Euroopan parlamentti, neuvosto tai komissio pyytää Euroopan tietosuojaneuvostolta neuvoja, se voi asettaa määräajan, jonka kuluessa tietosuojaneuvoston on annettava neuvot, asian kiireellisyys huomioon ottaen.

3.  Euroopan tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet Euroopan parlamentille, neuvostolle ja komissiolle sekä 87 artiklassa tarkoitetulle komitealle ja julkaistava ne.

4.  Komission on ilmoitettava Euroopan tietosuojaneuvostolle toimista, jotka se on toteuttanut tietosuojaneuvoston antamien lausuntojen, suuntaviivojen, suositusten ja parhaiden käytänteiden perusteella.

4 a.  Euroopan tietosuojaneuvoston on tarvittaessa kuultava asianomaisia osapuolia ja annettava niille mahdollisuus esittää huomautuksia kohtuullisessa määräajassa. Euroopan tietosuojaneuvoston on saatettava kuulemismenettelyn tulokset julkisesti saataville, sanotun kuitenkaan rajoittamatta 72 artiklan soveltamista.

4 b.  Euroopan tietosuojaneuvostolle annetaan tehtäväksi antaa 1 kohdan b alakohdan mukaisesti suuntaviivat, suositukset ja parhaat käytänteet, jotta voidaan laatia yhteisiä menettelyjä väitetysti lainvastaista tietojenkäsittelyä koskevien tietojen vastaanottamisesta ja tutkimisesta sekä vastaanotetun tiedon luottamuksellisuuden ja lähteiden suojaamisesta. [tark. 175]

67 artikla

Kertomukset

1.  Euroopan tietosuojaneuvoston on tiedotettava Euroopan parlamentille, neuvostolle ja komissiolle toimintansa tuloksista säännöllisesti ja oikea-aikaisesti. Sen on laadittava vuosittain vähintään joka toinen vuosi kertomus luonnollisten henkilöiden tietosuojan tilanteesta henkilötietojen käsittelyn yhteydessä unionissa ja kolmansissa maissa.

Kertomuksessa on tarkasteltava 66 artiklan 1 kohdan c alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden käytännön soveltamista. [tark. 176]

2.  Kertomus julkaistaan ja toimitetaan Euroopan parlamentille, neuvostolle ja komissiolle.

68 artikla

Menettely

1.  Euroopan tietosuojaneuvosto antaa päätöksensä jäsentensä yksinkertaisella enemmistöllä, paitsi jos sen työjärjestyksessä toisin määrätään. [tark. 177]

2.  Euroopan tietosuojaneuvosto hyväksyy työjärjestyksensä ja omat operatiiviset järjestelynsä. Se säätää erityisesti tehtävien hoidon jatkamisesta silloin kun jäsenen toimikausi päättyy tai jäsen eroaa tehtävistään, alaryhmien perustamisesta erityiskysymysten käsittelemistä tai erityisaloja varten sekä 57 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin liittyvistä menettelyistään.

69 artikla

Puheenjohtaja

1.  Euroopan tietosuojaneuvosto valitsee jäsentensä keskuudesta puheenjohtajan ja vähintään kaksi varapuheenjohtajaa. Toinen varapuheenjohtajista on Euroopan tietosuojavaltuutettu, paitsi jos tämä on valittu puheenjohtajaksi. [tark. 178]

2.  Puheenjohtajan ja varapuheenjohtajan toimikausi on viisi vuotta, ja samat henkilöt voidaan valita tehtäviinsä uudelleen.

2 a.  Puheenjohtajuuden on oltava täysipäiväinen toimi. [tark. 179]

70 artikla

Puheenjohtajan tehtävät

1.  Puheenjohtajalla on seuraavat tehtävät:

a)  kutsua koolle Euroopan tietosuojaneuvoston kokoukset ja valmistella kokouksen asialista;

b)  varmistaa, että Euroopan tietosuojaneuvosto täyttää tehtävänsä oikea-aikaisesti, erityisesti suhteessa 57 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin.

2.  Euroopan tietosuojaneuvoston on vahvistettava työjärjestyksessään puheenjohtajan ja varapuheenjohtajien tehtävänjako.

71 artikla

Sihteeristö

1.  Euroopan tietosuojaneuvostolla on oltava sihteeristö. Sihteeristön tehtävistä vastaa Euroopan tietosuojavaltuutettu.

2.  Sihteeristö antaa Euroopan tietosuojaneuvostolle analyysi-, oikeus-, hallinto- ja logistiikkatukea puheenjohtajan ohjauksessa. [tark. 180]

3.  Sihteeristöllä on erityisesti seuraavat tehtävät:

a)  hoitaa Euroopan tietosuojaneuvoston juoksevia asioita;

b)  hoitaa Euroopan tietosuojaneuvoston, sen puheenjohtajan ja komission välistä viestintää sekä tiedottamista muille toimielimille ja yleisölle;

c)  käyttää sähköisiä viestintävälineitä sekä sisäisessä että ulkoisessa viestinnässä;

d)  kääntää tarvittavat tiedot;

e)  valmistella ja seurata Euroopan tietosuojaneuvoston kokouksia;

f)  valmistella, laatia ja julkaista Euroopan tietosuojaneuvoston lausuntoja ja muita asiakirjoja.

72 artikla

Luottamuksellisuus

1.  Euroopan tietosuojaneuvoston keskustelut ovat voivat tarvittaessa olla luottamuksellisia, paitsi jos sen työjärjestyksessä toisin määrätään. Euroopan tietosuojaneuvoston kokousten esityslistat on julkistettava. [tark. 181]

2.  Euroopan tietosuojaneuvoston jäsenille, asiantuntijoille ja kolmansien osapuolten edustajille toimitetut asiakirjat ovat luottamuksellisia, paitsi jos niihin myönnetään pääsy Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1049/2001(18) mukaisesti tai Euroopan tietosuojaneuvosto julkistaa ne muulla tavoin.

3.  Euroopan tietosuojaneuvoston jäsenten, asiantuntijoiden ja kolmansien osapuolten edustajien on noudatettava tässä artiklassa säädettyjä asiakirjojen luottamuksellisuutta koskevia velvoitteita. Puheenjohtaja varmistaa, että asiantuntijat ja kolmansien osapuolten edustajat ovat tietoisia heitä koskevista asiakirjojen luottamuksellisuutta koskevista vaatimuksista.

VIII LUKU

OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET

73 artikla

Oikeus tehdä valitus valvontaviranomaiselle

1.  Jokaisella rekisteröidyllä on oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos rekisteröity katsoo, että hänen henkilötietojensa käsittelyssä ei ole noudatettu tämän asetuksen säännöksiä, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja ja yhdenmukaisuusmekanismia.

2.  Millä tahansa elimellä, järjestöllä tai yhdistyksellä, jonka tarkoituksena on suojella rekisteröidyn henkilötietojen suojaan liittyviä oikeuksia ja etuja joka toimii yleisen edun hyväksi ja joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, on oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle yhden tai useamman rekisteröidyn puolesta, jos se katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu henkilötietojen käsittelyssä.

3.  Edellä 2 kohdassa tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on rekisteröidyn valituksesta riippumatta oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos se katsoo, että on tapahtunut henkilötietojen tietoturvaloukkaus asetusta on rikottu. [tark. 182]

74 artikla

Oikeus oikeussuojakeinoihin valvontaviranomaista vastaan

1.  Jokaisella luonnollisella tai oikeushenkilöllä on oikeus oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen päätöstä vastaan, sanotun kuitenkaan rajoittamatta muiden hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten suojakeinojen soveltamista.

2.  Jokaisella rekisteröidyllä on oikeus oikeussuojakeinoihin, joilla valvontaviranomainen voidaan velvoittaa käsittelemään valitus, ellei valvontaviranomainen ole tehnyt rekisteröidyn oikeuksien suojaamista koskevaa päätöstä tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa valituksen etenemisestä tai ratkaisustaan 52 artiklan 1 kohdan b alakohdan mukaisesti, sanotun kuitenkaan rajoittamatta muiden hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten suojakeinojen soveltamista.

3.  Kanne valvontaviranomaista vastaan on nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.

4.  Rekisteröity, jota koskee muun kuin hänen asuinjäsenvaltionsa valvontaviranomaisen tekemä päätös, voi pyytää asuinjäsenvaltionsa valvontaviranomaista aloittamaan puolestaan oikeudelliset menettelyt toisen jäsenvaltion toimivaltaista valvontaviranomaista vastaan, sanotun kuitenkaan rajoittamatta yhdenmukaisuusmekanismia. [tark. 183]

5.  Jäsenvaltioiden on pantava täytäntöön tässä artiklassa tarkoitettujen tuomioistuimien lainvoimaiset päätökset.

75 artikla

Oikeus oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan

1.  Jokaisella luonnollisella henkilöllä on oikeus oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen käyttöä, mukaan lukien 73 artiklassa tarkoitettu oikeus tehdä valitus valvontaviranomaiselle.

2.  Kanne rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on nostettava sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Vaihtoehtoisesti tällainen kanne voidaan nostaa sen jäsenvaltion tuomioistuimissa, jossa rekisteröidyn vakinainen asuinpaikka on, paitsi jos rekisterinpitäjä on unionin viranomainen tai sellaisen jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön. [tark. 184]

3.  Jos 58 artiklassa tarkoitetussa yhdenmukaisuusmekanismissa on vireillä menettely, joka koskee samaa toimenpidettä, päätöstä tai käytännettä, tuomioistuin voi keskeyttää sille esitetyn kanteen käsittelyn, paitsi jos rekisteröidyn oikeuksien suojelu edellyttää kiireellistä käsittelyä eikä ole mahdollista odottaa yhdenmukaisuusmekanismissa vireillä olevan menettelyn tulosta.

4.  Jäsenvaltioiden on pantava täytäntöön tässä artiklassa tarkoitettujen tuomioistuimien lainvoimaiset päätökset.

76 artikla

Tuomioistuinmenettelyjä koskevat yhteiset säännöt

1.  Jokaisella 73 artiklan 2 kohdassa tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on oikeus käyttää 74, ja 75 ja 77 artiklassa tarkoitettuja oikeuksia yhden tai useamman rekisteröidyn puolesta, jos rekisteröity valtuuttaa ne tähän. [tark. 185]

2.  Jokaisella valvontaviranomaisella on oikeus panna vireille oikeudellisia menettelyjä ja nostaa kanne tuomioistuimessa tämän asetuksen säännösten täytäntöönpanon tai henkilötietojen johdonmukaisen suojan varmistamiseksi unionissa.

3.  Jos jäsenvaltion toimivaltaisella tuomioistuimella on perusteltu syy uskoa, että toisessa jäsenvaltiossa on vireillä rinnakkainen menettely, sen on otettava yhteyttä kyseisen jäsenvaltion toimivaltaiseen tuomioistuimeen varmistaakseen tällaisen rinnakkaisen menettelyn vireilläolon.

4.  Jos toisessa jäsenvaltiossa vireillä oleva rinnakkainen menettely koskee samaa asiaa, päätöstä tai käytäntöä, tuomioistuin voi keskeyttää oman menettelynsä.

5.  Jäsenvaltioiden on varmistettava, että niiden kansallisen lainsäädännön mukaisesti käytettävissä olevat oikeussuojakeinot mahdollistavat nopeat toimenpiteet, turvaamistoimenpiteet mukaan lukien, joilla lopetetaan väitetyt väärinkäytökset ja estetään suuremman haitan koituminen asianomaisille tahoille.

77 artikla

Vastuu ja oikeus korvauksen saamiseen

1.  Jos kenelle tahansa henkilölle aiheutuu vahinkoa, aineeton vahinko mukaan luettuna, lainvastaisesta käsittelystä tai minkä tahansa toiminnan yhteensopimattomuudesta tämän asetuksen säännösten kanssa, hänellä on oikeus saada hakea rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus korvausta aiheutuneesta vahingosta. [tark. 186]

2.  Jos käsittelyyn on osallistunut useampi kuin yksi rekisterinpitäjä tai henkilötietojen käsittelijä, kukin rekisterinpitäjä tai henkilötietojen käsittelijä on yhteisvastuullisesti vastuussa korvauksen koko määrästä, elleivät he ole tehneet asiaankuuluvaa kirjallista sopimusta, jossa määritellään vastuut 24 artiklan mukaisesti. [tark. 187]

3.  Rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä osoittaa, ettei ole vastuussa vahingon aiheuttaneesta tapahtumasta.

78 artikla

Seuraamukset

1.  Jäsenvaltioiden on vahvistettava säännöt tämän asetuksen säännösten rikkomisen vuoksi määrättäviä seuraamuksia varten ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi, myös silloin kun rekisterinpitäjä ei ole noudattanut velvollisuutta nimittää edustaja. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

2.  Jos rekisterinpitäjä on nimittänyt edustajan, seuraamuksia sovelletaan edustajaan, sanotun rajoittamatta seuraamuksia, joita voidaan määrätä rekisterinpitäjää itseään vastaan.

3.  Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

79 artikla

Hallinnolliset seuraamukset

1.  Jokaisella valvontaviranomaisella on valtuudet määrätä hallinnollisia seuraamuksia tämän artiklan mukaisesti. Valvontaviranomaisten on tehtävä yhteistyötä toistensa kanssa 46 ja 57 artiklan mukaisesti, jotta taataan seuraamusten yhtenäinen taso unionissa.

2.  Hallinnollisten seuraamusten on oltava kussakin tapauksessa tehokkaita, oikeasuhteisia ja varoittavia. Hallinnollisen sakon määrä vahvistetaan ottaen huomioon sääntöjen rikkomisen luonne, vakavuus ja kesto, tahallisuus tai tuottamuksellisuus, luonnollisen tai oikeushenkilön vastuun aste ja kyseisen henkilön mahdolliset aiemmat rikkomiset, 23 artiklan nojalla toteutetut tekniset ja organisatoriset toimenpiteet ja menettelyt sekä valvontaviranomaisen yhteistyön aste rikkomisen korjaamiseksi.

2 a.  Valvontaviranomaisen on määrättävä ainakin yksi seuraavista seuraamuksista jokaiselle, joka ei noudata tässä asetuksessa määrättyjä velvollisuuksia:

a)  kirjallinen varoitus, kun kyseessä on ensimmäinen ja tahaton noudattamatta jättäminen;

b)  säännöllisiä tietosuojaa koskevia tarkastuksia;

c)  enintään 100 000 000 euron sakko tai jos kyseessä on yritys, enintään 5 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

2 b.  Jos rekisterinpitäjällä tai henkilötietojen käsittelijällä on voimassa oleva 39 artiklan mukainen eurooppalainen tietosuojasinetti, 2 a kohdan c alakohdassa tarkoitettu sakko määrätään ainoastaan, jos kyseessä on tahallinen tai tuottamuksellinen noudattamatta jättäminen.

2 c.  Hallinnollisessa seuraamuksessa on otettava huomioon seuraavat seikat:

a)  noudattamatta jättämisen luonne, vakavuus ja kesto,

b)  noudattamatta jättämisen tahallisuus tai tuottamuksellisuus,

c)  luonnollisen tai oikeushenkilön vastuun aste ja kyseisen henkilön mahdolliset aiemmat rikkomiset,

d)  rikkomisen toistuvuus,

e)  yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi,

f)  erityiset henkilötietojen ryhmät, joihin rikkominen vaikuttaa,

g)  rekisteröidyille aiheutuneen vahingon aste, aineeton vahinko mukaan luettuna,

h)  rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi,

i)  rikkomisella suoraan tai epäsuorasti tavoitellut tai saavutetut taloudelliset edut tai vältetyt tappiot,

j)  seuraavien artiklojen nojalla toteutettujen teknisten ja organisatoristen toimenpiteiden ja menettelyjen aste:

i)  23 artikla – Sisäänrakennettu ja oletusarvoinen tietosuoja

ii)  30 artikla – Käsittelyn turvallisuus

iii)  33 artikla – Tietosuojaa koskeva vaikutustenarviointi

iv)  33 a artikla – Tietosuojasääntöjen noudattamisen tarkastelu

v)  35 artikla – Tietosuojavastaavan nimittäminen

k)  kieltäytyminen yhteistyöstä valvontaviranomaisen 53 artiklan nojalla suorittamien tarkastusten ja valvonnan yhteydessä tai näiden tarkastusten ja valvonnan estäminen;

l)  mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät.

3.  Kun kyseessä on ensimmäinen ja tahaton asetuksen rikkominen, voidaan antaa kirjallinen varoitus ja jättää seuraamus määräämättä, jos

a)  luonnollinen henkilö käsittelee henkilötietoja ilman kaupallista intressiä; tai

b)  yritys tai järjestö, jonka palveluksessa on alle 250 työntekijää, käsittelee henkilötietoja ainoastaan pääasiallisen toimintansa aputoimintona.

4.  Valvontaviranomaisen on määrättävä sakkoa enintään 250 000 euroa, tai jos kyseessä on yritys, enintään 0,5 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta, jokaiselle joka tahallaan tai tuottamuksesta:

a)  ei perusta menettelyjä rekisteröityjen esittämiä pyyntöjä varten tai ei vastaa viipymättä tai vaaditussa muodossa rekisteröityjen 12 artiklan 1 ja 2 kohdan nojalla esittämiin pyyntöihin;

b)  perii 12 artiklan 4 kohdan vastaisesti maksun tiedoista tai rekisteröityjen pyyntöihin vastaamisesta.

5.  Valvontaviranomaisen on määrättävä sakkoa enintään 500 000 euroa, tai jos kyseessä on yritys, enintään 1 prosentti sen vuotuisesta maailmanlaajuisesta liikevaihdosta, jokaiselle joka tahallaan tai tuottamuksesta:

a)  ei anna rekisteröidylle 11 artiklan, 12 artiklan 3 kohdan ja 14 artiklan nojalla tietoja tai antaa puutteellisia tietoja tai ei anna tietoja riittävän läpinäkyvästi;

b)  ei anna rekisteröidylle pääsyä tai ei oikaise henkilötietoja 15 ja 16 artiklan nojalla tai ei toimita 13 artiklan mukaisesti tarvittavia tietoja tietojen vastaanottajalle;

c)  ei noudata oikeutta tulla unohdetuksi tai poistaa tiedot, tai jättää toteuttamatta mekanismit määräaikojen noudattamisen varmistamiseksi, tai ei toteuta kaikkia tarvittavia toimenpiteitä, joiden avulla kolmansille osapuolille ilmoitetaan rekisteröidyn pyynnöstä poistaa 17 artiklan nojalla kaikki linkit henkilötietoihin tai niiden kopiot tai jäljennökset;

d)  ei toimita jäljennöstä henkilötiedoista sähköisessä muodossa tai estää 18 artiklan vastaisesti rekisteröityä siirtämästä henkilötietonsa toiseen sovellukseen;

e)  ei määritä 24 artiklassa tarkoitettuja yhteisten rekisterinpitäjien vastuualueita lainkaan tai ei määritä niitä riittävästi;

f)  ei säilytä 28 artiklassa, 31 artiklan 4 kohdassa tai 44 artiklan 3 kohdassa tarkoitettuja asiakirjoja tai ei säilytä niitä riittävässä määrin;

g)  ei noudata tapauksissa, joihin ei liity erityisiä tietoryhmiä, 80, 82 ja 83 artiklan mukaisesti sääntöjä, jotka koskevat sananvapautta tai työntekijän henkilötietojen käsittelyä tai historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten suoritettavan käsittelyn edellytyksiä.

6.  Valvontaviranomaisen on määrättävä sakkoa enintään 1 000 000 euroa, tai jos kyseessä on yritys, enintään 2 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta, jokaiselle joka tahallaan tai tuottamuksesta:

a)  käsittelee henkilötietoja ilman mitään tai ilman riittävää oikeusperustaa tai ei noudata 6–8 artiklassa säädettyjä suostumusta koskevia edellytyksiä;

b)  käsittelee erityisiä tietoryhmiä 9 ja 81 artiklan vastaisesti;

c)  ei noudata henkilötietojen käsittelyn vastustamista tai 19 artiklassa säädettyä vaatimusta;

d)  ei noudata 20 artiklassa säädettyjä, profilointiin perustuvia toimenpiteitä koskevia edellytyksiä;

e)  ei vahvista sisäisiä menettelyjä tai ei toteuta tarvittavia toimenpiteitä sääntöjen noudattamisen varmistamiseksi ja sen osoittamiseksi 22, 23 ja 30 artiklan mukaisesti;

f)  ei nimitä edustajaa 25 artiklan mukaisesti;

g)  käsittelee henkilötietoja tai antaa ohjeita henkilötietojen käsittelemiseksi niiden velvoitteiden vastaisesti, jotka koskevat rekisterinpitäjän lukuun suoritettavaa henkilötietojen käsittelyä 26 ja 27 artiklan mukaisesti;

h)  ei anna hälytystä henkilötietojen tietoturvaloukkauksen vuoksi tai ei ilmoita siitä tai ei ilmoita tietoturvaloukkauksesta oikea-aikaisesti tai kokonaan valvontaviranomaiselle tai rekisteröidylle 31 ja 32 artiklan mukaisesti;

i)  ei laadi tietosuojaa koskevaa vaikutustenarviointia 33 artiklan mukaisesti tai käsittelee henkilötietoja ilman 34 artiklassa säädettyä valvontaviranomaisen ennakkohyväksyntää tai ‑kuulemista;

j)  ei nimitä tietosuojavastaavaa tai varmista edellytyksiä 35–37 artiklassa säädettyjen tehtävien suorittamiseksi;

k)  käyttää väärin 39 artiklassa tarkoitettuja tietosuojasinettejä tai ‑merkkejä;

l)  toteuttaa tiedonsiirtoja tai antaa ohjeita sellaisten tiedonsiirtojen toteuttamiseksi kolmanteen maahan tai kansainväliselle järjestölle, joita varten ei ole tehty tietosuojan riittävyyttä koskevaa päätöstä tai annettu asianmukaisia takeita tai 40–44 artiklan mukaista poikkeusta;

m)  ei noudata valvontaviranomaisen 53 artiklan 1 kohdan nojalla antamaa määräystä tai väliaikaista tai lopullista käsittelykieltoa tai tietovirtojen keskeyttämismääräystä;

n)  ei noudata velvollisuutta avustaa valvontaviranomaista tai vastata tai antaa sille tarvittavat tiedot tai sallia sen pääsy tiloihin 28 artiklan 3 kohdan, 29 artiklan, 34 artiklan 6 kohdan ja 53 artiklan 2 kohdan mukaisesti;

o)  ei noudata 84 artiklassa säädettyjä salassapitovelvollisuuden takaamista koskevia sääntöjä.

7.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa päivitetään 4–6 artiklassa 2 a kohdassa tarkoitettujen hallinnollisten sakkojen määrä 2 ja 2 c kohdassa tarkoitetut kriteerit ja tekijät huomioon ottaen. [tark. 188]

IX LUKU

TIETOJENKÄSITTELYYN LIITTYVIÄ ERITYISTILANTEITA KOSKEVAT SÄÄNNÖKSET

80 artikla

Henkilötietojen käsittely ja sananvapaus

1.  Jäsenvaltioiden on säädettävä ainoastaan journalistisia tarkoituksia tai taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettua henkilötietojen käsittelyä varten poikkeuksista ja vapautuksista II luvussa säädetyistä yleisistä periaatteista, III luvussa säädetyistä rekisteröidyn oikeuksista, IV luvussa säädetyistä rekisterinpitäjää ja henkilötietojen käsittelijää koskevista säännöistä, V luvussa säädetyistä henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille koskevista säännöistä, VI luvussa säädetyistä riippumattomia valvontaviranomaisia koskevista säännöistä ja VII luvussa säädetyistä yhteistyötä ja yhdenmukaisuutta koskevista säännöistä sekä tässä luvussa säädetyistä erilaisista tietojenkäsittelytilanteista silloin, kun se on välttämätöntä, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan ja sananvapautta koskevat säännöt perusoikeuskirjan mukaisesti. [tark. 189]

2.  Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

80 a artikla

Asiakirjojen saatavuus

1.  Viranomaiset tai julkishallinnon elimet voivat luovuttaa hallussaan olevien asiakirjojen sisältämiä henkilötietoja sellaisen virallisten asiakirjojen julkisuudesta säädetyn unionin tai jäsenvaltion lain mukaisesti, jossa sovitetaan yhteen oikeus henkilötietojen suojaan ja virallisten asiakirjojen julkisuusperiaate.

2.  Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset ilman viivytystä. [tark. 190]

81 artikla

Terveyttä koskevien henkilötietojen käsittely

1.  Terveyttä koskevia henkilötietoja voidaan on käsiteltävä käsitellä tässä asetuksessa asetetuissa rajoissa vahvistettujen sääntöjen ja erityisesti 9 artiklan 2 kohdan h alakohdan mukaisesti unionin tai jäsenvaltion lainsäädännön nojalla, jossa säädetään asianmukaisista, yhdenmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeutettujen etujen ja perusoikeuksien suojaamiseksi, jos käsittely on tarpeen ja oikeasuhtaista ja jos rekisteröity voi ennakoida sen vaikutukset

a)  ennalta ehkäisevää tai työterveydenhuoltoa tai lääketieteellisiä diagnooseja koskevia tarkoituksia, hoidon tai käsittelyn suorittamista tai terveydenhuollon palvelujen hallintoa varten ja jos näitä tietoja käsittelee terveydenhuollon ammattikoulutuksen saanut henkilö, jota koskee vaitiolovelvollisuus, tai muu henkilö, jota koskee vastaava velvoite jäsenvaltion lain tai toimivaltaisten kansallisten viranomaisten vahvistamien sääntöjen nojalla; tai

b)  kansanterveyteen liittyvän yleisen edun vuoksi, kuten rajatylittävien vakavien terveysuhkien estämiseksi tai esimerkiksi lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi tai silloin, kun tiedot käsittelee henkilö, jota sitoo vaitiolovelvollisuus;

c)  muista yleistä etua koskevista syistä esimerkiksi sosiaalisen suojelun alalla, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä ja terveyspalvelujen antamiseksi. Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saa johtaa siihen, että tietoja käsitellään muita tarkoituksia varten, paitsi jos rekisteröity on antanut suostumuksensa tai jos unionin tai jäsenvaltion lainsäädäntö mahdollistaa sen.

1 a.  Jos 1 kohdan a–c alakohdassa mainitut tarkoitukset voidaan saavuttaa ilman henkilötietojen käyttöä, näitä tietoja ei saa käyttää kyseisiin tarkoituksiin, paitsi jos rekisteröity on antanut suostumuksensa tai jos jäsenvaltion lainsäädäntö mahdollistaa sen.

1 b.  Jos rekisteröidyn on annettava suostumuksensa lääketieteellisten tietojen käsittelyyn yksinomaan kansanterveyttä koskevan tieteellisen tutkimuksen tekemiseksi, suostumus voidaan antaa yhtä tai useampaa erityistä ja vastaavaa tutkimusta varten. Rekisteröity voi kuitenkin peruuttaa suostumuksensa milloin tahansa.

1 c.  Kun on kyse suostumuksesta tieteellisessä tutkimustoiminnassa suoritettaviin kliinisiin tutkimuksiin, sovelletaan Euroopan parlamentin ja neuvoston direktiivin 2001/20/EY(19) asiaa koskevia säännöksiä.

2.  Terveyttä koskevien henkilötietojen käsittelyyn käsittely, joka on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, esimerkiksi diagnoosien parantamista varten perustettavia potilasrekistereitä ja samantyyppisten sairauksien erottamiseksi toisistaan tai selvitysten laatimiseksi hoitoja varten, sovelletaan sallitaan ainoastaan rekisteröidyn suostumuksella ja siihen on sovellettava 83 artiklassa tarkoitettuja edellytyksiä ja takeita.

2 a.  Jäsenvaltioiden lainsäädännössä voidaan säätää poikkeuksista 2 kohdassa tarkoitettuun tutkimustarkoitusta koskevan suostumuksen vaatimukseen sellaisten tutkimusten osalta, jotka koskevat tärkeää yleistä etua, mikäli tätä tutkimusta ei voida suorittaa muulla tavalla. Kyseisistä tiedoista on poistettava nimet tai, jos se ei tutkimustarkoituksen vuoksi ole mahdollista, tiedot on julkaistava salanimillä erittäin tiukkojen teknisten vaatimusten mukaisesti ja kaikki tarvittavat toimenpiteet on toteutettava rekisteröityjen aiheettoman uudelleen tunnistamisen estämiseksi. Rekisteröidyllä on kuitenkin 19 artiklan mukainen oikeus vastustaa henkilötietojen käsittelyä milloin tahansa.

3.  Siirretään komissiolle valta antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan b alakohdassa tarkoitetut muut yleistä etua tarkoitettu yleinen etu kansanterveyden alalla koskevat syyt sekä kriteerit ja vaatimukset 1 2 a kohdassa tarkoitettuja tarkoituksia varten suoritettavaa henkilötietojen käsittelyä koskevia takeita varten tarkoitettu tärkeä yleinen etu tutkimuksen alalla.

3 a.  Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian. [tark. 191]

82 artikla

Henkilötietojen käsittelyä työsuhteen yhteydessä koskevat vähimmäisvaatimukset

1.  Jäsenvaltiot voivat tämän asetuksen säännösten mukaisesti ja suhteellisuusperiaatteenhuomioon ottaen antaa tässä asetuksessa asetetuissa rajoissa lainsäädäntöteitse erityissäännöksiä työntekijän terveystietojen henkilötietojen käsittelystä työsuhteen yhteydessä, erityisesti yritysryhmän sisäistä palvelukseenottamista ja työnhakua tai työsopimuksen täytäntöönpanoa varten, mutta ei rajoittuen niihin, mukaan lukien lakisääteisistä tai ja työehtosopimukseen perustuvista kansallisen lainsäädännön ja käytäntöjen mukaisesti velvollisuuksista vapauttaminen, työn johto, suunnittelu ja organisointi, työterveys ja -turvallisuus, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten. Jäsenvaltiot voivat sallia, että tässä artiklassa vahvistetut säännökset määritellään tarkemmin työehtosopimuksissa.

1 a.  Tietojen käsittelemisen on liityttävä tietojen keräämistarkoitukseen, ja niitä saa käsitellä ainoastaan työsuhteen yhteydessä. Tietojen käyttäminen profilointiin tai toissijaisiin tarkoituksiin on kielletty.

1 b.  Työntekijän suostumus ei muodosta oikeusperustaa sille, että työnantaja voi käsitellä tietoja, jos suostumusta ei ole annettu vapaaehtoisesti.

1 c.  Sen estämättä, mitä tämän asetuksen muissa säännöksissä säädetään, soveltamista on 1 kohdassa tarkoitettuihin jäsenvaltioiden säännöksiin sisällytettävä vähintään seuraavat vähimmäisvaatimukset:

a)  työntekijän henkilötietoja ei saa käsitellä tämän tietämättä. Jäsenvaltiot voivat ensimmäisestä virkkeestä poiketen lainsäädännöllä ja vahvistamalla asianmukaiset määräajat tietojen poistamiselle sallia tietojen käsittelyn tapauksissa, joissa on perusteltuja ja pakollisen dokumentoinnin avulla varmistettuja syitä epäillä, että työntekijä on työsuhteessa syyllistynyt rikokseen tai vakavaan velvollisuuksien laiminlyöntiin, ja joissa tiedot ovat tarpeellisia rikoksen paljastamiseksi ja tietojen keräämisen luonne ja laajuus ovat tarpeellisia ja oikeasuhteisia tarkoitukseensa nähden. Työntekijän yksityisyyttä ja yksityiselämää on aina kunnioitettava. Tutkinnan suorittaa toimivaltainen viranomainen;

b)  avoin optoelektroninen ja/tai avoin akustis-elektroninen valvonta ei ole sallittua yleisöltä suljetuissa yrityksen tiloissa, jotka toimivat pääasiallisesti työntekijöiden sosiaalisina tiloina. Tämä koskee erityisesti pesu- ja pukuhuoneita sekä taukotiloja ja lepohuoneita. Salaa suoritettu valvonta ei ole sallittua missään tapauksessa.

c)  jos yritykset tai viranomaiset keräävät tai käsittelevät henkilötietoja terveystarkastusten ja/tai soveltuvuustestien yhteydessä, niiden on etukäteen kerrottava hakijalle tai työntekijälle, mihin tarkoitukseen tietoja käytetään, sekä varmistettava, että ne ja tuloksista annetaan jälkikäteen kyseiselle henkilölle ja että niiden merkityksestä annetaan pyynnöstä tarkempi selitys. Tietojen kerääminen geneettisten testien ja analyysien tekemistä varten on periaatteellisista syistä kielletty;

d)  työehtosopimuksissa voidaan määrätä, onko puhelimen, sähköpostin, internetin ja muiden televiestintäpalvelujen käyttäminen henkilökohtaisiin tarkoituksiin sallittua ja missä määrin. Jos tätä ei säännellä työehtosopimuksilla, työnantaja sopii asiasta suoraan työntekijän kanssa. Jos käyttö henkilökohtaisiin tarkoituksiin sallitaan, kerättyjen teleliikennetietojen käsittely on sallittua erityisesti tietoturvallisuuden takaamiseksi, televiestintäverkkojen ja ‑palvelujen asianmukaisen toiminnan takaamiseksi sekä laskutustarkoituksiin.

Jäsenvaltiot voivat kolmannesta virkkeestä poiketen lainsäädännöllä ja vahvistamalla asianmukaiset määräajat tietojen poistamiselle sallia tietojen käsittelyn tapauksissa, joissa on perusteltuja ja pakollisen dokumentoinnin avulla varmistettuja syitä epäillä, että työntekijä on työsuhteessa syyllistynyt rikokseen tai vakavaan velvollisuuksien laiminlyöntiin, ja joissa tiedot ovat tarpeellisia rikoksen paljastamiseksi ja tietojen keräämisen luonne ja laajuus ovat tarpeellisia ja oikeasuhteisia tarkoitukseensa nähden. Työntekijän yksityisyyttä ja yksityiselämää on aina kunnioitettava. Tutkinnan suorittaa toimivaltainen viranomainen;

e)  työntekijöiden henkilötietoja ja erityisesti arkaluontoisia tietoja, kuten poliittista suuntautumista taikka ammattiyhdistyksiin kuulumista tai niissä toimimista koskevia tietoja, ei saa missään tapauksessa käyttää työntekijöiden mustalle listalle merkitsemiseen ja tarkastusten tekemiseen tai työntekijöiden työnsaannin estämiseen tulevaisuudessa. Mustien listojen käsittely, käyttö työsuhteen yhteydessä sekä mustien listojen laatiminen työntekijöistä ja niiden välittäminen eteenpäin ja muut syrjinnän muodot ovat kiellettyjä. Jäsenvaltioiden on tehtävä tarkistuksia ja hyväksyttävä asianmukaisia seuraamuksia 79 artiklan 6 kohdan mukaisesti, jotta varmistetaan tämän kohdan tehokas täytäntöönpano.

1 d.  Yritysryhmän sisällä ja oikeudellisia asioita koskevaa neuvontaa ja veroneuvontaa tarjoavien asiantuntijoiden kanssa tapahtuva oikeudellisesti itsenäisten yritysten välinen työntekijöiden henkilötietojen siirtäminen ja käsittely on sallittua, jos se on tarkoituksenmukaista yrityksen toiminnan kannalta ja tarpeellista tiettyjen tehtävien hoitamiseksi tai hallinnollisten menettelyjen toteuttamiseksi eikä ole ristiriidassa asianomaisen henkilön etujen ja perusoikeuksien suojelun kanssa. Jos työntekijän henkilötiedot siirretään kolmanteen maahan ja/tai kansainväliselle järjestölle, sovelletaan V lukua.

2.  Jäsenvaltioiden on toimitettava 1 ja 1 b kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

3.  Siirretään komissiolle valta antaa Euroopan tietosuojaneuvostolta pyytämänsä lausunnon jälkeen 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset 1 kohdassa tarkoitettuja tarkoituksia varten suoritettavaa henkilötietojen käsittelyä koskevia takeita varten. [tark. 192]

82 a artikla

Henkilötietojen käsittely sosiaaliturvan yhteydessä

1.  Jäsenvaltiot voivat tämän asetuksen säännösten mukaisesti antaa erityisiä oikeudellisia sääntöjä, joissa määritellään julkisten elinten ja yksiköiden toteuttaman henkilötietojen käsittelyn edellytykset sosiaaliturvan yhteydessä, jos käsittely tapahtuu yleisen edun vuoksi.

2.  Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian. [tark. 193]

83 artikla

Henkilötietojen käsittely historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten

1.  Henkilötietoja voidaan käsitellä historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten tässä asetuksessa asetetuissa rajoissa vahvistettujen sääntöjen mukaisesti vain, jos

a)  näitä tarkoituksia ei voida muutoin täyttää käsittelemällä tietoja, joiden perusteella rekisteröityä ei voida tunnistaa tai ei voida enää tunnistaa;

b)  tiedot, joiden avulla tiedot voidaan kohdentaa tunnistettuun tai tunnistettavissa olevaan rekisteröityyn, pidetään erillään muista tiedoista siltä osin kuin nämä tarkoitukset voidaan täyttää tällä tavoin erittäin tiukkojen teknisten vaatimusten mukaisesti, ja kaikki tarvittavat toimenpiteet on toteutettava rekisteröityjen aiheettoman uudelleen tunnistamisen estämiseksi.

2.  Elimet, jotka suorittavat historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimuksia, voivat julkaista tai muulla tavoin julkistaa henkilötietoja vain, jos

a)  rekisteröity on antanut siihen suostumuksensa 7 artiklassa säädettyjen edellytysten mukaisesti;

b)  henkilötietojen julkaiseminen on tarpeen tutkimustulosten esittämistä varten tai tutkimuksen helpottamiseksi siltä osin kuin rekisteröidyn edut tai perusoikeudet tai ‑vapaudet eivät syrjäytä näitä etuja; tai

c)  rekisteröity on itse julkistanut tiedot.

3.  Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset henkilötietojen käsittelylle 1 ja 2 kohdassa tarkoitettuja tarkoituksia varten sekä mahdolliset rekisteröidyn tiedonsaantioikeutta koskevat rajoitukset ja täsmennetään rekisteröidyn oikeuksia näissä olosuhteissa koskevat edellytykset ja takeet. [tark. 194]

83 a artikla

Arkistojen suorittama henkilötietojen käsittely

1.  Henkilötietoja voivat käsitellä niiden keräämiseen liittyvän alkuperäisen käsittelytavoitteen toteuttamiseksi tarpeellisen ajanjakson jälkeen arkistot, joiden päätehtävänä tai oikeudellisena velvoitteena on arkistotietojen kerääminen, tallentaminen, luokitteleminen, viestittäminen, hyödyntäminen ja jakaminen yleisen edun vuoksi erityisesti henkilöiden oikeuksien perustelua taikka historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten. Toimet suoritetaan hallinnollisten asiakirjojen tai arkistojen saatavuutta, tarjoamista ja jakelua koskevia jäsenvaltioiden menettelyjä noudattaen ja tässä asetuksessa vahvistettujen sääntöjen mukaisesti, etenkin mitä tulee suostumukseen sekä oikeuteen vastustaa tietojen käsittelyä.

2.  Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian. [tark. 195]

84 artikla

Salassapitovelvollisuus

1.  Jäsenvaltiot voivat Jäsenvaltioiden on tässä asetuksessa asetetuissa rajoissa antaa vahvistettujen sääntöjen mukaisesti varmistettava, että on olemassa erityissääntöjä valvontaviranomaisten 53 artiklan 2 kohdassa artiklassa säädetyistä tutkintavaltuuksista valtuuksista suhteessa rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joita koskee kansalliseen lainsäädäntöön perustuva tai kansallisten toimivaltaisten elinten asettama salassapitovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen ja oikeasuhteista henkilötietojen suojan ja salassapitovelvollisuuden yhteensovittamiseksi. Näitä sääntöjä sovelletaan ainoastaan niihin henkilötietoihin, jotka rekisterinpitäjä tai henkilötietojen käsittelijä on vastaanottanut tai saanut tämän salassapitovelvollisuuden piiriin kuuluvan toiminnan yhteydessä. [tark. 196]

2.  Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

85 artikla

Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt

1.  Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan kattavia asianmukaisia sääntöjä, jotka koskevat yksilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä voidaan soveltaa edelleen, jos ne saatetaan tämän asetuksen säännösten mukaisiksi.

2.  Edellä 1 kohdassa tarkoitettuja kattavia asianmukaisia sääntöjä soveltavien kirkkojen ja uskonnollisten yhdistysten on säädettävä riippumattoman valvontaviranomaisen perustamisesta tämän asetuksen VI luvun mukaisesti hankittava 38 artiklan mukainen noudattamista koskeva lausunto. [tark. 197]

X LUKU

DELEGOIDUT SÄÄDÖKSET JA TÄYTÄNTÖÖNPANOSÄÄDÖKSET

85 a artikla

Perusoikeuksien kunnioittaminen

Tämä asetus ei vaikuta velvoitteeseen kunnioittaa SEU-sopimuksen 6 artiklassa vahvistettuja perusoikeuksia ja oikeudellisia perusperiaatteita. [tark. 198]

85 b artikla

Vakiolomakkeet

1.  Komissio voi – ottaen huomioon eri alojen ja tietojenkäsittelytilanteiden erityisominaisuudet ja tarpeet – laatia vakiolomakkeet:

a)  8 artiklan 1 kohdassa tarkoitettuja. todennettavissa olevan suostumuksen saamiseksi käytettäviä erityisiä menetelmiä varten,

b)  12 artiklan 2 kohdassa tarkoitettua ilmoittamista varten, sähköinen ilmoittaminen mukaan luettuna,

c)  14 artiklan 1–3 kohdassa tarkoitettua ilmoittamista varten,

d)  15 artiklan 1 kohdassa tarkoitettua tiedon pyytämistä ja saantia varten, henkilötietojen toimittaminen rekisteröidylle mukaan luettuna,

e)  28 artiklan 1 kohdassa tarkoitettuja asiakirjoja varten,

f)  31 artiklan mukaisia valvontaviranomaiselle lähetettäviä tietoturvaloukkausta koskevia ilmoituksia ja 31 artiklassa tarkoitettuja asiakirjoja varten,

g)  34 artiklassa tarkoitettuja ennakkokuulemisia varten ja 34 artiklan 6 kohdassa tarkoitettua valvontaviranomaiselle ilmoittamista varten.

2.  Tässä yhteydessä komissio toteuttaa tarvittavat toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

3.  Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. [tark. 199]

86 artikla

Siirretyn säädösvallan käyttäminen

1.  Siirretään komissiolle valta antaa delegoituja säädöksiä tässä artiklassa säädetyin edellytyksin.

2.  Siirretään 6 artiklan 5 kohdassa, 8 artiklan 3 kohdassa, 9 artiklan 3 kohdassa, 12 artiklan 5 kohdassa, 14 artiklan 7 kohdassa, 15 artiklan 3 kohdassa komissiolle määräämättömäksi ajaksi tämän asetuksen voimaantulosta alkaen 13 a artiklan 5 kohdassa, 17 artiklan 9 kohdassa, 20 artiklan 6 kohdassa, 22 artiklan 4 kohdassa, 23 artiklan 3 kohdassa, 26 artiklan 5 kohdassa, 28 artiklan 5 kohdassa, 30 artiklan 3 kohdassa, 31 artiklan 5 kohdassa, 32 artiklan 5 kohdassa, 33 artiklan 6 kohdassa, 34 artiklan 8 kohdassa, 35 artiklan 11 kohdassa, 37 artiklan 2 kohdassa, 38 artiklan 4 kohdassa, 39 artiklan 2 kohdassa, 41 artiklan 3 kohdassa, 43 artiklan 3 kohdassa, 44 artiklan 7 kohdassa, 79 artiklan 6 7 kohdassa, 81 artiklan 3 kohdassa, ja 82 artiklan 3 kohdassa ja 83 artiklan 3 kohdassa tarkoitettu valta antaa delegoituja säädöksiä komissiolle määräämättömäksi ajaksi tämän asetuksen voimaantulopäivästä alkaen. [tark. 200]

3.  Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 6 artiklan 5 kohdassa, 8 artiklan 3 kohdassa, 9 artiklan 3 kohdassa, 12 artiklan 5 kohdassa, 14 artiklan 7 kohdassa, 15 artiklan 3 kohdassa, 13 a artiklan 5 kohdassa, 17 artiklan 9 kohdassa, 20 artiklan 6 kohdassa, 22 artiklan 4 kohdassa, 23 artiklan 3 kohdassa, 26 artiklan 5 kohdassa, 28 artiklan 5 kohdassa, 30 artiklan 3 kohdassa, 31 artiklan 5 kohdassa, 32 artiklan 5 kohdassa, 33 artiklan 6 kohdassa, 34 artiklan 8 kohdassa, 35 artiklan 11 kohdassa, 37 artiklan 2 kohdassa, 38 artiklan 4 kohdassa, 39 artiklan 2 kohdassa, 41 artiklan 3 kohdassa, 41 artiklan 5 kohdassa, 43 artiklan 3 kohdassa, 44 artiklan 7 kohdassa, 79 artiklan 6 7 kohdassa, 81 artiklan 3 kohdassa, ja 82 artiklan 3 kohdassa ja 83 artiklan 3 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Päätös tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, päätöksessä mainittuna päivänä. Päätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen. [tark. 201]

4.  Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

5.  Edellä olevien 6 artiklan 5 kohdan, 8 artiklan 3 kohdan, 9 artiklan 3 kohdan, 12 artiklan 5 kohdan, 14 artiklan 7 kohdan, 15 artiklan 3 kohdan, 13 a artiklan 5 kohdan, 17 artiklan 9 kohdan, 20 artiklan 6 kohdan, 22 artiklan 4 kohdan, 23 artiklan 3 kohdan, 26 artiklan 5 kohdan, 28 artiklan 5 kohdan, 30 artiklan 3 kohdan, 31 artiklan 5 kohdan, 32 artiklan 5 kohdan, 33 artiklan 6 kohdan, 34 artiklan 8 kohdan, 35 artiklan 11 kohdan, 37 artiklan 2 kohdan, 38 artiklan 4 kohdan, 39 artiklan 2 kohdan, 41 artiklan 3 kohdan, 41 artiklan 5 kohdan, 43 artiklan 3 kohdan, 44 artiklan 7 kohdan, 79 artiklan 6 7 kohdan, 81 artiklan 3 kohdan, ja 82 artiklan 3 kohdan ja 83 artiklan 3 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kahden kuuden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuudella kuukaudella. [tark. 202]

87 artikla

Komiteamenettely

1.  Komissiota avustaa komitea. Kyseinen komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2.  Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

3.  Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 8 artiklaa yhdessä 5 artiklan kanssa. [tark. 203]

XI LUKU

LOPPUSÄÄNNÖKSET

88 artikla

Direktiivin 95/46/EY kumoaminen

1.  Kumotaan direktiivi 95/46/EY.

2.  Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen. Viittauksia direktiivin 95/46/EY 29 artiklalla perustettuun tietosuojatyöryhmään pidetään viittauksina tällä asetuksella perustettuun Euroopan tietosuojaneuvostoon.

89 artikla

Suhde direktiiviin 2002/58/EY ja direktiivin muuttaminen

1.  Tällä asetuksella ei aseteta luonnollisille tai oikeushenkilöille lisävelvoitteita sellaisen henkilötietojen käsittelyn osalta, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa unionissa, suhteessa sellaisiin seikkoihin, joiden osalta niiden on noudatettava direktiivissä 2002/58/EY säädettyjä erityisiä velvoitteita, joilla on sama tavoite.

2 Kumotaan direktiivin 2002/58/EY 1 artiklan 2, 4 ja 15 kohta. [tark. 204]

2 a.   Komissio esittää viipymättä ja viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ehdotuksia henkilötietojen käsittelyä ja yksityisyyden suojaa sähköisessä viestinnässä koskevan oikeudellisen kehyksen uudistamisesta, jotta se vastaisi tämän asetuksen säännöksiä, sekä varmistaa johdonmukaisen ja yhtenäisen lainsäädännön, joka koskee perusoikeutta henkilötietojen suojaan unionissa. [tark. 205]

89 a artikla

Suhde asetukseen (EY) N:o 45/2001 ja asetuksen muuttaminen

1.  Tässä asetuksessa vahvistettuja sääntöjä sovelletaan unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn asioissa, jotka eivät kuulu asetuksessa (EY) N:o 45/2001 vahvistettujen lisäsääntöjen piiriin.

2.  Komissio esittää viipymättä ja viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ehdotuksia unionin toimielinten, elinten ja laitosten suorittamaa henkilötietojen käsittelyä koskevan oikeudellisen kehyksen uudistamisesta. [tark. 206]

90 artikla

Arviointi

Komissio toimittaa Euroopan parlamentille ja neuvostolle säännöllisesti kertomukset tämän asetuksen arvioinnista ja uudelleentarkastelusta. Ensimmäinen kertomus annetaan viimeistään neljän vuoden kuluttua tämän asetuksen voimaantulosta. Sen jälkeen kertomukset annetaan neljän vuoden välein. Komissio esittää tarvittaessa ehdotuksia tämän asetuksen muuttamiseksi ja sen yhdenmukaistamiseksi muiden säädösten kanssa, ottaen erityisesti huomioon tietotekniikassa ja tietoyhteiskunnassa tapahtuvan kehityksen. Kertomukset julkaistaan.

91 artikla

Voimaantulo ja soveltaminen

1.  Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2.  Sitä sovelletaan ...(20).

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty

Euroopan parlamentin puolesta Neuvoston puolesta

Puhemies Puheenjohtaja

Liite – Edellä 13 a artiklassa mainittujen yksityiskohtaisten tietojen esittely

1)  Ottaen huomioon 6 kohdassa mainitut mittasuhteet yksityiskohdat olisi esitettävä seuraavasti:

2)  Seuraavat sanat kohdan 1 taulukon ”PERUSTIEDOT” toisen sarakkeen riveillä on lihavoitava:

a)  sana ”kerätä” toisen sarakkeen ensimmäisellä rivillä;

b)  sana ”säilytetä” toisen sarakkeen toisella rivillä;

c)  sana ”käsitellä” toisen sarakkeen kolmannella rivillä;

d)  sana ”jaeta” toisen sarakkeen neljännellä rivillä;

e)  sanat ”myydä tai vuokrata” toisen sarakkeen viidennellä rivillä;

f)  sana ”suojaamattomassa” toisen sarakkeen kuudennella rivillä.

3)  Ottaen huomioon yksityiskohdat, joihin viitataan 6 kohdassa, 1 kohdan taulukon kolmannen sarakkeen, jonka otsikko on ”TÄYTTYNYT”, rivit on täytettävä toisella seuraavista kahdesta graafisesta muodosta 4 kohdassa vahvistettujen ehtojen mukaisesti:

a)

b)

4)  

a)  Jos henkilötietoja ei kerätä suurempia määriä kuin on välttämätöntä käsittelyn kunkin tarkoituksen toteuttamiseksi, 1 kohdan taulukon kolmannen sarakkeen ensimmäisellä rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

b)  Jos henkilötietoja kerätään suurempia määriä kuin on välttämätöntä käsittelyn kunkin tarkoituksen toteuttamiseksi, 1 kohdan taulukon kolmannen sarakkeen ensimmäisellä rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

c)  Jos henkilötietoja ei säilytetä kauemmin kuin on välttämätöntä käsittelyn kunkin tarkoituksen toteuttamiseksi, 1 kohdan taulukon kolmannen sarakkeen toisella rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

d)  Jos henkilötietoja säilytetään kauemmin kuin on välttämätöntä käsittelyn kunkin tarkoituksen toteuttamiseksi, 1 kohdan taulukon kolmannen sarakkeen toisella rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

e)  Jos henkilötietoja ei käsitellä muita kuin niitä tarkoituksia varten, joihin ne on kerätty, 1 kohdan taulukon kolmannen sarakkeen kolmannella rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

f)  Jos henkilötietoja käsitellään muita kuin niitä tarkoituksia varten, joihin ne on kerätty, 1 kohdan taulukon kolmannen sarakkeen kolmannella rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

g)  Jos henkilötietoja ei jaeta kaupallisille yrityksille, 1 kohdan taulukon kolmannen sarakkeen neljännellä rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

h)  Jos henkilötietoja jaetaan kaupallisille yrityksille, 1 kohdan taulukon kolmannen sarakkeen neljännellä rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

i)  Jos henkilötietoja ei myydä tai vuokrata, 1 kohdan taulukon kolmannen sarakkeen viidennellä rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

j)  Jos henkilötietoja myydään tai vuokrataan, 1 kohdan taulukon kolmannen sarakkeen viidennellä rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

k)  Jos henkilötietoja ei säilytetä suojaamattomassa muodossa, 1 kohdan taulukon kolmannen sarakkeen kuudennella rivillä on oltava 3 kohdan a alakohdan mukainen graafinen muoto.

l)  Jos henkilötietoja säilytetään suojaamattomassa muodossa, 1 kohdan taulukon kolmannen sarakkeen kuudennella rivillä on oltava 3 kohdan b alakohdan mukainen graafinen muoto.

5)  Edellä 1 kohdan graafisten muotojen viitevärit ovat Black Pantone nro 7547 ja Red Pantone nro 485. Edellä 3 kohdan a alakohdan graafisen muodon viiteväri on Green Pantone nro 370. Edellä 3 kohdan b alakohdan graafisen muodon viiteväri on Red Pantone nro 485.

6)  Seuraavassa piirroksessa esitettyjä mittasuhteita on noudatettava, vaikka taulukkoa pienennettäisiin tai suurennettaisiin:

[tark. 207]

(1) EUVL C 229, 31.7.2012, s. 90. (2) EUVL C 192, 30.6.2012, s. 7. (3) Euroopan parlamentin kanta, vahvistettu 12. maaliskuuta 2014. (4) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31). (5) Komission suositus 2003/361/EY, annettu 6 päivänä toukokuuta 2003, mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä ( EUVL L 124, 20.5.2003, s. 36). (6) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1). (7) Euroopan parlamentin ja neuvoston direktiivi 2000/31/EY, annettu 8 päivänä kesäkuuta 2000, tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista ("Direktiivi sähköisestä kaupankäynnistä") (EUVL L 178, 17.7.2000, s. 1). (8) Neuvoston direktiivi 93/13/ETY, annettu 5 päivänä huhtikuuta 1993, kuluttajasopimusten kohtuuttomista ehdoista (EYVL L 95, 21.4.1993, s. 29). (9) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1338/2008, annettu 16 päivänä joulukuuta 2008, kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista (EUVL L 354, 31.12.2008, s. 70). (10) Euroopan parlamentin ja neuvoston direktiivi 2009/38/EY, annettu 6 päivänä toukokuuta 2009, eurooppalaisen yritysneuvoston perustamisesta tai työntekijöiden tiedottamis- ja kuulemismenettelyn käyttöönottamisesta yhteisönlaajuisissa yrityksissä tai yritysryhmissä (EUVL L 122, 16.5.2009, s. 28). (11) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13). (12) Euroopan parlamentin ja neuvoston direktiivi 2002/58/ET, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EUVL L 201, 31.7.2002, s. 37). (13) EYVL L 176, 10.7.1999, s. 36. (14) EUVL L 53, 27.2.2008, s. 52. (15) EUVL L 160, 18.6.2011, s. 21. (16) Euroopan parlamentin ja neuvoston direktiivi 2004/18/EY, annettu 31 päivänä maaliskuuta 2004, julkisia rakennusurakoita sekä julkisia tavara- ja palveluhankintoja koskevien sopimusten tekomenettelyjen yhteensovittamisesta (EUVL L 134, 30.4.2004, s. 114). (17) Euroopan parlamentin ja neuvoston direktiivi 2004/17/EY, annettu 31 päivänä maaliskuuta 2004, vesi- ja energiahuollon sekä liikenteen ja postipalvelujen alalla toimivien yksiköiden hankintamenettelyjen yhteensovittamisesta (EUVL L 134, 30.4.2004, s. 1). (18) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43). (19) Euroopan parlamentin ja neuvoston direktiivi 2001/20/EY, annettu 4 päivänä huhtikuuta 2001, hyvän kliinisen tutkimustavan noudattamista ihmisille tarkoitettujen lääkkeiden kliinisissä tutkimuksissa koskevien jäsenvaltioiden lakien, asetusten ja hallinnollisten määräysten lähentämisestä (EYVL L 121, 1.5.2001, s. 34). (20) Kaksi vuotta tämän asetuksen voimaantulopäivästä.