Euroopa Parlamendi 12. märtsi 2014. aasta seadusandlik resolutsioon ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))
(Seadusandlik tavamenetlus: esimene lugemine)
Euroopa Parlament,
– võttes arvesse komisjoni ettepanekut Euroopa Parlamendile ja nõukogule (COM(2012)0011),
– võttes arvesse Euroopa Liidu toimimise lepingu artikli 294 lõiget 2 ja artikli 16 lõiget 2, mille alusel komisjon esitas ettepaneku Euroopa Parlamendile (C7‑0025/2012),
– võttes arvesse Euroopa Liidu toimimise lepingu artikli 294 lõiget 3,
– võttes arvesse Belgia Esindajatekoja, Saksamaa Liidunõukogu, Prantsusmaa Senati, Itaalia Saadikutekoja ja Rootsi Riksdagi poolt subsidiaarsuse ja proportsionaalsuse põhimõtete kohaldamist käsitleva protokolli nr 2 alusel esitatud põhjendatud arvamusi, mille kohaselt seadusandliku akti eelnõu ei vasta subsidiaarsuse põhimõttele,
– võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee 23. mai 2012. aasta arvamust(1),
– pärast konsulteerimist Regioonide Komiteega,
– võttes arvesse Euroopa andmekaitseinspektori 7. märtsi 2012. aasta arvamust(2),
– võttes arvesse Euroopa Liidu Põhiõiguste Ameti 1. oktoobri 2012. aasta arvamust,
– võttes arvesse kodukorra artiklit 55,
– võttes arvesse kodanikuvabaduste, justiits- ja siseasjade komisjoni raportit ning tööhõive- ja sotsiaalkomisjoni, tööstuse, teadusuuringute ja energeetikakomisjoni, siseturu- ja tarbijakaitsekomisjoni ning õiguskomisjoni arvamusi (A7-0402/2013),
1. võtab vastu allpool toodud esimese lugemise seisukoha;
2. palub komisjonil ettepaneku uuesti Euroopa Parlamendile saata, kui komisjon kavatseb seda oluliselt muuta või selle muu tekstiga asendada;
3. teeb presidendile ülesandeks edastada Euroopa Parlamendi seisukoht nõukogule ja komisjonile ning liikmesriikide parlamentidele.
Euroopa Parlamendi seisukoht, vastu võetud esimesel lugemisel 12. märtsil 2014. aastal eesmärgiga võtta vastu Euroopa Parlamendi ja nõukogu määrus (EL) nr .../2014 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)
(1) Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta (edaspidi „harta”) artikli 8 lõikes 1 ja ELi toimimise lepingu artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.
(2) Isikuandmete töötlemine on mõeldud teenima inimkonda ning üksikisikute kaitse põhimõtete ja eeskirjadega nende isikuandmete töötlemisel tuleks füüsiliste isikute rahvusest ja elukohast sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Isikuandmete töötlemine peaks kaasa aitama vabadusel, turvalisusel ja õigusel rajaneva ala ning majandusliidu saavutamisele, majanduslikule ja sotsiaalsele arengule, majanduse tugevdamisele ja lähendamisele siseturul ning üksikisikute heaolule.
(3) Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ(4) eesmärk on ühtlustada füüsiliste isikute põhiõiguste ja -vabaduste kaitset töötlemistoimingutel ning tagada isikuandmete vaba liikumine liikmesriikide vahel.
(4) Siseturu toimimisest tulenev majandus- ja sotsiaalne integratsioon on isikuandmete piirideüleseid vooge märkimisväärselt suurendanud. Majandus- ja sotsiaal- ning avaliku ja erasektori osalejate vaheline andmevahetus on suurenenud terves Euroopa Liidus. Liikmesriikide ametiasutusi kutsutakse liidu õigusaktidega üles koostööle ja isikuandmete vahetamisele, et neil oleks võimalik täita oma ülesandeid või teha seda teise liikmesriigi ametiasutuse nimel.
(5) Kiire tehnoloogiline areng ja üleilmastumine tekitavad isikuandmete kaitsel uusi probleeme. Andmete jagamise ja kogumise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab nii era- kui ka avaliku sektori asutustel kasutada isikuandmeid oma eesmärkide saavutamiseks enneolematus ulatuses. Üksikisikud avaldavad isikuandmeid üha avalikumalt ja ülemaailmsemalt. Tehnoloogia on põhjalikult muutnud nii majandust kui ka ühiskondlikku elu ja nõuab ELi-sisese andmete liikumise ning nende kolmandatesse riikidesse ja rahvusvahelisele organisatsioonile edastamise täiendavat hõlbustamist, tagades samas isikuandmete kõrgetasemelise kaitse.
(6) Need muudatused nõuavad ELis tugeva ja ühtsema isikuandmete kaitse raamistiku loomist ning selle täitmise tagamist, et suurendada usaldust, mis võimaldab digitaalsel majandusel areneda terve siseturu lõikes. Üksikisikutel peaks olema kontroll oma isikuandmete üle ning tugevdada tuleks õigus- ja tegelikku kindlust üksikisikute, ettevõtjate ja avaliku sektori asutuste seisukohast.
(7) Direktiivi 95/46/EÜ eesmärgid ja põhimõtted on endiselt ajakohased, kuid see ei ole ära hoidnud ELis andmetekaitse rakendusviiside killustumist, õiguskindlusetust ega avalikkuses laialtlevinud seisukohta, et eelkõige internetiga seonduvad märkimisväärsed ohud üksikisikute kaitsele. Liikmesriikide poolt tagatavate üksikisikute õiguste, eelkõige isikuandmete kaitse õiguse, ja vabaduste kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete ELi-sisest vaba liikumist. Need erinevused võivad seetõttu takistada ELi tasandi majandustegevust, moonutada konkurentsi ja takistada ametiasutustel täita nende ELi õigusest tulenevaid kohustusi. Erinevused kaitse tasemes tulenevad erisustest direktiivi 95/46/EÜ rakendamisel ja kohaldamisel.
(8) Et tagada üksikisikute järjekindel ja kõrgetasemeline kaitse ning takistuste kõrvaldamiseks isikuandmete liikumisel peaks üksikisikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine terves ELis.
(9) Tõhusaks isikuandmete kaitseks terves ELis tuleks tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja selle üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel ning rikkujatele määratavaid karistusi liikmesriikides.
(10) ELi toimimise lepingu artikli 16 lõikega 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama eeskirju üksikisikute kaitse kohta seoses isikuandmete töötlemisega, samuti selliste andmete vaba liikumise eeskirju.
(11) Et tagada üksikisikute järjekindel kaitse terves ELis ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on tarvis määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtete, sealhulgas mikro-, väike- ja keskmise suurusega ettevõtete jaoks ning milles sätestatakse kõigi liikmesriikide üksikisikute samaväärsed kohtulikult kaitstavad õigused ja kohustused ning vastutavate töötlejate ja volitatud töötlejate vastutus, et tagada pidev isikuandmete töötlemise jälgimine nagu ka samad karistused kõigis liikmesriikides ning liikmesriikide järelevalveasutuste tõhus koostöö. Käesolevas määruses on ette nähtud mitu erandit, et võtta arvesse mikro-, väike- ja keskmise suurusega ettevõtete erilist olukorda. Lisaks kutsutakse ELi institutsioone ja asutusi, liikmesriike ja nende järelevalveasutusi üles võtma käesoleva määruse rakendamisel arvesse mikro-, väike- ja keskmise suurusega ettevõtete erivajadusi. Mikro-, väike- ja keskmise suurusega ettevõtete määratlus tugineb komisjoni 6. mai 2003. aasta soovitusele 2003/361/EÜ(5) mikro-, väike- ja keskmise suurusega ettevõtjate määratluse kohta.
(12) Käesoleva määrusega pakutav kaitse laieneb füüsiliste isikute isikuandmete töötlemisele, olenemata asjaomase isiku kodakondsusest või elukohast. Ühelgi isikul ei ole võimalik nõuda käesoleva määrusega ettenähtavat kaitset seoses selliste andmete töötlemisega, mis käsitlevad juriidilisi isikuid, eelkõige juriidiliste isikutena asutatud ettevõtjaid, sealhulgas juriidilise isiku nime ja vormi ning kontaktandmetega. Seda kohaldatakse ka juhul, kui juriidilise isiku nimi sisaldab ühe või mitme füüsilise isiku nime.
(13) Üksikisikute kaitse peaks olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud vahenditest, vastasel juhul tekib märkimisväärne oht, et eeskirjade täitmisest hoitakse kõrvale. Kui andmed sisalduvad toimikusüsteemis või kui nad hiljem kantakse toimikusüsteemi, peab üksikisikute kaitse kehtima nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva määruse reguleerimisalasse ei kuulu toimikud või toimikute kogumid ega nende esilehed, mis ei ole teatavate kriteeriumide kohaselt korrastatud.
(14) Käesolevas määruses ei käsitleta põhiõiguste ja -vabaduste kaitset ega andmete vaba liikumist väljapoole ELi õiguse reguleerimisala jäävate meetmete puhul ega isikuandmete töötlemist ELi institutsioonide, asutuste ja ametite poolt, mille kohta kehtib Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 45/2001(6), ega isikuandmete töötlemist liikmesriikide poolt ELi ühise välis- ja julgeolekupoliitikaga seonduvate meetmete puhultuleks viia kooskõlla käesoleva määrusega ning seda tuleks kohaldada käesoleva määruse kohaselt. [ME 1]
(15) Käesolevat määrust ei tuleks kohaldata isikuandmete töötlemise suhtes füüsilise isiku poolt üksnes isiklikel, perekonnaga seotud või kodustel eesmärkidel, näiteks kirjavahetus ja aadresside loetelu või eraisikute vaheline müük ning ilma tulutoova eesmärgita ning väljaspool ametialast ja äritegevust. Erandit eiKäesolevat määrust tuleks siiski kohaldada vastutavate töötlejate egaja volitatud töötlejate suhtes, kes pakuvad isikuandmete isiklikel või kodustel eesmärkidel töötlemise vahendeid. [ME 2]
(16) Üksikisikute kaitset isikuandmete töötlemisel pädevate asutuste poolt seoses kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega ning kriminaalkaristuste täitmisele pööramisega ning selliste andmete vaba liikumist käsitletakse eraldiseisvas ELi tasandi õigusaktis. Seetõttu ei tuleks käesolevat määrust kohaldada nimetatud eesmärkidel teostatavate töötlemistoimingute suhtes. Avaliku sektori asutuste poolt käesoleva määruse alusel töödeldavaid andmeid, kui neid kasutatakse seoses kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega ning kriminaalkaristuste täitmisele pööramisega, reguleeritakse konkreetsema ELi tasandi õigusaktiga (Euroopa Parlamendi ja nõukogu direktiiv 2014/.../EL üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta).
(17) Käesolevat määrust tuleks kohaldada, ilma et see piiraks Euroopa Parlamendi ja nõukogu direktiivi 2000/31/EÜ(7), eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate eeskirjade kohaldamist.
(18) Käesoleva määruse sätete kohaldamisel on võimalik arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet. Avaliku sektori asutuse või organi valduses olevates dokumentides sisalduvaid isikuandmeid võib see asutus või organ avaldada kooskõlas ametlike dokumentide üldist kättesaadavust käsitlevate liikmesriigi õigusaktidega, mis ühitab õigust andmekaitsele ametlike dokumentide üldise kättesaadavuse õigusega ja milles esineb asjaomaste eri huvide õiglane tasakaal. [ME 3]
(19) ELis vastutava töötleja või volitatud töötleja asutuse tegevuse raames tuleks töödelda isikuandmeid vastavalt käesolevale määrusele, sõltumata sellest, kas töötlemine toimub ELis. Asutus eeldab tegelikku ja tulemuslikku tegutsemist ning stabiilset asukohta. Tegevuse õiguslik vorm (kas filiaali või juriidilise isiku tütarettevõtja kaudu) ei ole selles osas määrav.
(20) Selleks et tagada üksikisikutele kaitse, millele neil on õigus käesoleva määruse alusel, tuleks käesolevat määrust kohaldada väljaspool ELi asuva vastutava töötleja poolt ELis asuvate andmesubjektide isikuandmete töötlemise suhtes, kui töötlemistoimingud on seotud kaupade või teenuste tasust sõltumatu pakkumisega kõnealustele andmesubjektidele või nende käitumise jälgimisega. Selleks et määrata kindlaks, kas vastutav töötleja pakub sellistele liidu andmesubjektidele kaupu või teenuseid, tuleks kontrollida, kas on ilmne, et vastutav töötleja kavatseb pakkuda teenuseid ühe või mitme liidu liikmesriigi andmesubjektidele. [ME 4]
(21) Selleks et teha kindlaks, kas töötlemistoimingut võib pidada andmesubjekti „käitumise jälgimiseks”, tuleb selgitada välja, kas üksikisikut jälgitakse internetis andmetöötlusmeetoditega, olenemata andmete päritolust, või kui nende kohta kogutakse muid andmeid, sealhulgas liidu avalikest registritest ja teadaannetest, mis on kättesaadavad liidust väljaspool, sealhulgas kavatsusega kasutada või võimaliku kavatsusega kasutada edaspidi andmetöötlusmeetodeid, mis hõlmavad üksikisiku profileerimist eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid. [ME 5]
(22) Kui liikmesriigi õigust kohaldatakse rahvusvahelise avaliku õigusena, tuleks käesolevat määrust kohaldada ka väljaspool ELi asuva vastutava töötleja suhtes, näiteks liikmesriigi diplomaatilise või konsulaaresinduse puhul.
(23) KaitsepõhimõtteidAndmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut käsitleva igasuguse teabe suhtes. Isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib üksikisiku otseseks või kaudseks tuvastamiseks või eristamiseks tõenäoliselt kasutada. Selleks et teha kindlaks, kas üksikisiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvesse võtta kõik objektiivsed tegurid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogia arengut. Isikuandmete kaitse põhimõtteid ei tuleks seega kohaldada teabeanonüümsete andmete suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti selline teave, mis ei ole enam võimalik tuvastada seotud tuvastatud või tuvastatava füüsilise isikuga. Käesolev määrus ei käsitle seega niisuguste anonüümsete andmete töötlemist, sealhulgas statistikauurimuste ja teadustöö eesmärkidel. [ME 6]
(24) Sidusteenuste kasutamisel võib üksikisikut seostada temaKäesolevat määrust tuleks kohaldada töötlemise suhtes, mis hõlmab seadmete, rakenduste, tööriistade ja protokollide jagatavate veebiidentifikaatoritega, näiteks IP-aadresside või küpsistega. See võib jätta jälgi, mida kombineeritult serveritesse saabuvate kordumatute identifikaatoritega ja muu teabega võidakse kasutada üksikisikute profileerimiseks ja nende tuvastamiseks. Sellest järeldub, et identifitseerimisnumbreid, asukohaandmeid, veebiidentifikaatoreid ja muid konkreetseid tegureid ei ole iseenesest tingimata vaja pidada isikuandmeteks, küpsiste ja raadiosagedustuvastuse kiipidega, välja arvatud juhul, kui need identifikaatorid ei ole seotud tuvastatud või tuvastatava füüsilise isikuga. [ME 7]
(25) Nõusolek tuleb anda selgesõnaliselt ükskõik millisel sobival viisil, mis võimaldab andmesubjektil väljendada vaba, konkreetset ja teadlikku tahet andmesubjekti avalduse või tema valikul selgelt nõusolekut väljendava tegevuse kaudu, millega tagatakse, et üksikisik on teadlik sellest, et ta annab oma nõusoleku isikuandmete töötlemiseks, sealhulgas märgistades. Nõusolekut väljendav tegevus võib hõlmata veebisaidil vajaliku lahtri märgistamist või mis tahes muu avalduse või käitumise kaudu muud avaldust või käitumist, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek nende isikuandmete kavandatavaks töötlemiseks. Vaikimist, lihtsalt teenuse kasutamist või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel teostatavaid töötlemistoimingud. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik, kuid mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse. [ME 8]
(26) Terviseandmete hulka kuuluvad eelkõige kõik andmesubjekti tervislikku seisundit käsitlevad andmed; teave üksikisiku registreerimise kohta temale tervishoiuteenuste osutamise eesmärgil; üksikisikuga seonduv teave tervishoiuteenuse eest tasumise või tema õiguse kohta saada tervishoiuteenuseid; number, tähis või eritunnus, mis on üksikisikule määratud tema tuvastamiseks tervishoiuga seotud eesmärkidel; mis tahes teave üksikisiku kohta, mida on kogutud temale tervishoiuteenuste osutamise käigus; teave, mida on saadud mingi kehaosa või kehast pärineva aine, sealhulgas bioloogiliste proovide, kontrollimise või uurimise tulemusena; teave selle isiku kohta, kes on üksikisikule tervishoiuteenust osutanud; ning igasugune teave näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi ja andmesubjekti tegeliku füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata selle allikast (näiteks arst või muu tervishoiutöötaja, haigla, meditsiiniseade või in vitro diagnostika).
(27) ELis asuva vastutava töötleja peamine tegevuskoht tuleks kindlaks määrata objektiivsete kriteeriumide alusel ning see peaks eeldama tegelikku ja tulemuslikku juhtimistegevust töötlemise eesmärke ja vahendeid käsitlevate peamiste otsuste vastuvõtmisel ning stabiilset asukohta. See kriteerium ei tohiks sõltuda sellest, kas isikuandmete töötlemine toimub tegelikult kõnealuses kohas, kuna isikuandmete töötlemise või töötlemistoimingute teostamise tehniliste vahendite ja tehnoloogia olemasolu ja kasutamine iseendast ei kujuta endast sellist peamist tegevuskohta, seega ei ole need peamise tegevuskoha määravad kriteeriumid. Volitatud töötleja peamine tegevuskoht on koht, kus asub tema ELi juhtkond.
(28) Kontsern peaks hõlmama kontrollivat ettevõtjat ja tema kontrolli all olevaid ettevõtjaid, kusjuures kontrolliv ettevõtja peaks saama kasutada teiste ettevõtjate üle valitsevat mõju näiteks omanikuna, rahalise osaluse kaudu, põhikirja alusel või volituse kaudu rakendada isikuandmete kaitse eeskirju.
(29) Laste isikuandmed vajavad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud ohtudest, tagajärgedest, kaitsemeetmetest ja oma isikuandmete töötlemisega seonduvatest õigustest. Selleks et määrata kindlaks, kas üksikisik on laps, tuleks käesolevas määruses üle võtta ÜRO lapse õiguste konventsioonis esitatud määratlus.Kui andmete töötlemine põhineb andmesubjekti nõusolekul seoses kaupade või teenuste pakkumisega otse lapsele, peab kuni 13aastase lapse puhul nõusoleku või loa andma lapse vanem või eestkostja. Kui sihtrühmaks on lapsed, peaks keelekasutus olema neile eakohane. Kohaldada peaks saama sellised seadusliku töötlemise muid alused nagu avalik huvi, näiteks töötlemise puhul, mis toimub seoses lapsele otse pakutavate ennetavate või nõustamisteenustega. [ME 9]
(30) Isikuandmete igasugune töötlemine peaks olema seaduslik, andmesubjektide suhtes õiglane ja läbipaistev. Eelkõige peaksid olema selged ja õiguspärased andmete töötlemise konkreetsed eesmärgid, mis tuleb kindlaks määrata andmete kogumise ajal. Andmed peaksid olema asjakohased, piisavad ja piirduma töötlemise otstarbe seisukohalt minimaalselt vajalikuga; mistõttu tuleb eelkõige tagada, et andmete kogumine ja nende säilitamise aeg piirduks minimaalsega. Isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki ei ole võimalik saavutada muude vahendite abil. Tagamaks, et ebatäpsed andmed kustutatakse või parandatakse, tuleks võtta kõik mõistlikud meetmed. Selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peab vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või perioodiliseks läbivaatamiseks.
(31) Töötlemise seaduslikkuse tagamiseks tuleks isikuandmeid töödelda asjaomase isiku nõusolekul või muul seaduses, käesolevas määruses või muus käesolevas määruses osutatud ELi või liikmesriigi õiguses ettenähtud õiguslikul alusel. Õigus- ja teovõimeta lapse või isiku nõusoleku andmise või temalt loa saamise tingimused tuleks kindlaks määrata asjakohaste liidu või liikmesriigi õigusaktidega. [ME 10]
(32) Kui töötlemine toimub andmesubjekti nõusolekul, peaks vastutaval töötlejal lasuma tõendamiskohustus, et andmesubjekt on töötlemistoimingu heaks kiitnud. Eelkõige muid küsimusi käsitleva kirjaliku avalduse puhul tuleks kaitsemeetmetega tagada, et andmesubjekt on teadlik nõusoleku andmisest ja nõusoleku andmise ulatusest. Kooskõla tagamiseks minimaalse andmehulga põhimõttega ei tohiks tõendamiskohustust mõista kui andmesubjektide isikusamasuse tuvastamise kohustust, välja arvatud juhul, kui see on vajalik. Sarnaselt tsiviilõiguse tingimustega (nt nõukogu direktiiv 93/13/EMÜ(8)) peaksid andmekaitse põhimõtted olema võimalikult selged ja läbipaistvad. Need ei tohiks hõlmata varjatud ega kahjulikke klausleid. Nõusolekut ei saa anda kolmandate isikute andmete töötlemiseks. [ME 11]
(33) Vabatahtliku nõusoleku tagamiseks tuleks täpsustada, et nõusolek ei kujuta endast kehtivat õiguslikku alust siis, kui üksikisikul puudub tegelik ja vaba valik ja ta ei saa seetõttu ilma negatiivsete tagajärgedeta nõusoleku andmisest keelduda või nõusolekut tagasi võtta. Eriti oluline on see juhul, kui vastutav töötleja on avaliku sektori asutus, kes saab kehtestada kohustuse oma asjakohastest avaliku võimu teostamise volitustest tulenevalt ja nõusolekut ei saa lugeda vabalt antuks. Väikevalikute kasutamine, nagu ettemärgitud kastikeste kasutamine, kus andmesubjekt peab töötlemisest keeldumiseks valikuid muutma, ei väljenda vaba nõusolekut. Teenuse kasutamiseks ei tohi nõuda nõusolekut täiendavate isikuandmete töötlemiseks, mis ei ole teenuse osutamiseks vajalikud. Nõusoleku tühistamine võimaldab andmetest sõltuv teenus lõpetada või see osutamata jätta. Kui üldine kavandatud eesmärk ei ole selge, peaks vastutav töötleja pakkuma andmesubjektile korrapäraselt teavet töötlemise kohta ja taotlema tema nõusoleku taaskinnitamist. [ME 12]
(34) Nõusolek ei tohiks anda isikuandmete töötlemiseks kehtivat õiguslikku alust, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras. Nii on see eriti juhul, kui andmesubjekt sõltub vastutavast töötlejast, muu hulgas juhul, kui tööandja töötleb töövõtjate isikuandmeid töösuhte kontekstis. Juhul kui vastutav töötleja on avaliku sektori asutus, puudub tasakaal ainult selliste konkreetsete andmetöötlustoimingute puhul, mille juures avalik-õiguslik asutus saab kehtestada kohustuse oma asjakohastest avaliku võimu teostamise volitustest tulenevalt ja nõusolekut ei saa lugeda vabalt antuks, võttes arvesse andmesubjekti huve. [ME 13]
(35) Töötlemine peaks olema seaduslik juhul, kui see on vajalik seoses lepinguga või kavandatavaks lepingu sõlmimiseks.
(36) Kui töötlemine toimub vastavalt vastutava töötleja seadusjärgsele kohustusele või kui töötlemine on vajalik avalikes huvides täidetava ülesande täitmiseks või ametliku võimu kasutamiseks, peaks töötlemise õiguslik alus olema sätestatud ELi õiguses või liikmesriigi õiguses, mis vastab harta nõuetele õiguste ja vabaduste mistahes piiramise osas. See peaks samuti hõlmama kollektiivlepinguid, mida võidakse riigisisese õigusega tunnistada üldkehtivaks. See, kas avaliku huviga seotud ülesannet täitev või avalikku võimu teostav vastutav töötleja peaks olema riigiasutus või muu avalik-õiguslik või füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata ELi või liikmesriikide õiguses. [ME 14]
(37) Isikuandmete töötlemist tuleks pidada samaväärselt seaduslikuks ka siis, kui see on vajalik andmesubjekti eluliste huvide kaitsmiseks.
(38) Töötlemise õiguslikuks aluseks võib olla vastutava või avaldamise korral selle kolmanda isiku, kellele andmed avaldatakse, töötleja õigustatud huvi tingimusel, et nad vastavad andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga, ja et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad. See vajab hoolikat hindamist eelkõige juhul, kui andmesubjekt on laps, kuna lapsed vajavad erilist kaitset. Tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, tuleks eeldada, et varjunimega tähistatud andmetega piirduv töötlemine vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga. Andmesubjektil peaks olema õigus tasuta töötlemine vaidlustada tema konkreetse olukorraga seonduvatel põhjustel ja tasuta. Läbipaistvuse tagamiseks peaks vastutav töötleja olema kohustatud andmesubjekti selgesõnaliselt teavitama oma õigustatud huvist asjaomase isiku vastu ja vaidlustamisõigusest ning samuti olema kohustatud need õigustatud huvid dokumenteerima. Andmesubjekti huvid ja põhiõigused võivad olla vastutava töötleja huvidest tähtsamad eelkõige juhul, kui isikuandmeid töödeldakse olukorras, kus andmesubjektil ei ole mõistlik eeldada edasist töötlemist. Arvestades, et avaliku sektori asutuste jaoks peab andmete töötlemise õigusliku aluse õigusaktiga kehtestama seadusandja, ei tuleks nimetatud õiguslikku alust kohaldada avalik-õiguslike asutuste poolse, nende ülesannete täitmiseks teostatava töötlemise puhul. [ME 15]
(39) Andmete töötlemine sellisel määral, mis on tingimata vajalik ja proportsionaalne võrgu- ja infoturbe – s.o võrgu- ja infosüsteemi võime kaitsta end teatava kindlusega õnnetuste või ebaseaduslike või pahatahtlike tegevuste eest, mis seavad ohtu salvestatud või edastatud andmete kättesaadavuse, autentsuse, terviklikkuse ja konfidentsiaalsuse ja nende võrkude ja süsteemide poolt pakutavate või nende kaudu juurdepääsetavate teenuste turvalisuse – tagamiseks avaliku sektori asutuste, infoturbeintsidentidega tegelevate rühmade – CERTide, arvutiturbe juhtumitele reageerimise rühmade – CSIRTide, elektroonilise side võrkude ja teenuste pakkujate ning turvatehnoloogiate ja -teenuste pakkujate poolt kujutab endast asjaomase vastutava töötleja õigustatud huvi. See võib näiteks sisaldada elektroonilise side võrkudele ebaseadusliku juurdepääsu ja pahatahtliku koodi levitamise takistamist, teenusetõkestamise rünnete ning arvutite ja elektroonilise side süsteemide kahjustamise peatamist. Seda põhimõtet kohaldatakse ka isikuandmete töötlemise suhtes, et piirata pahatahtlikku juurdepääsu üldkasutatavatele võrkudele ja infosüsteemidele ja nende pahatahtlikku kasutamist, näiteks elektrooniliste identifikaatorite musta nimekirja kandmine. [ME 16]
(39a) Tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, tuleks eeldada, et kahjude ennetamine või piiramine vastutava töötleja või avaldamise puhul kolmanda isiku, kellele andmed avaldatakse, poolt vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga. Sama põhimõtet kohaldatakse samuti andmesubjekti vastu esitatud õigusnõuete, näiteks võlgade sissenõudmise või tsiviilkahju hüvitamise ja tsiviilõiguslike kaitsevahendite täitmise suhtes. [ME 17]
(39b) Tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, tuleks eeldada, et isikuandmete töötlemine enda toodete või sarnaste toodete ja teenuste otseturunduseks või otseturunduseks posti teel toimub vastutava töötleja või avaldamise puhul kolmanda isiku, kellele andmed avaldatakse, õigustatud huvides, ja et see vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga, kui on esitatud väga hästi nähtav teave vaidlustamisõiguse ja isikuandmete allika kohta. Ettevõtte kontaktandmete töötlemise puhul tuleks üldiselt eeldada, et see toimub vastutava töötleja või avaldamise puhul kolmanda isiku, kellele andmed avaldatakse, õigustatud huvides, ja et see vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga. Sama põhimõtet tuleks kohaldada andmesubjekti poolt ilmselgelt avalikustatud isikuandmete töötlemise suhtes. [ME 18]
(40) Isikuandmete töötlemine muul eesmärgil peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks andmed algselt koguti, eelkõige juhul, kui töötlemine on vajalik ajaloo- või statistikauurimuste ning teadustöö eesmärgil. Kui muu eesmärk ei ole kooskõlas eesmärgiga, mille jaoks andmed algselt koguti, peaks vastutav töötleja andmete nimetatud muul eesmärgil töötlemiseks saama andmesubjekti nõusoleku või valima töötlemiseks seadusliku töötlemise muu õigusliku aluse, eelkõige kui see on ette nähtud ELi või selle liikmesriigi õigusega, mille õigust vastutava töötleja suhtes kohaldatakse. Igal juhul tuleks tagada käesolevas määruses sätestatud põhimõtete kohaldamine ja eelkõige andmesubjekti teavitamine kõnealustest muudest eesmärkidest. [ME 19]
(41) Oma loomult põhiõiguste ja eraelu puutumatuse seisukohast eriti tundlikud ja haavatavad isikuandmed vajavad erilist kaitset. Neid andmeid ei tohiks töödelda, välja arvatud juhul, kui andmesubjekt annab oma selgesõnalise nõusoleku. Erivajaduste puhul tuleks aga selgesõnaliselt sätestada käesolevast keelust tehtavad erandid, eelkõige juhul, kui töötlemine toimub teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist. [ME 20]
(42) Tundlike andmeliikide töötlemise keelust peaks olema lubatud kõrvale kalduda ka seaduse alusel ja rakendades asjakohaseid kaitsemeetmeid, et kaitsta isikuandmeid ja muid põhiõigusi, kui seda õigustab avalik huvi, eelkõige tervishoiu, sealhulgas rahvatervise, sotsiaalkaitse ja tervishoiuteenuste korraldamise valdkonnas eelkõige selleks, et tagada hüvitisenõuete rahuldamise kord ja teenuste kvaliteet ning tasuvus tervisekindlustuse puhul, või ajaloo- võija statistikauurimuste ning teadustöö eesmärgil või arhiveerimise puhul. [ME 21]
(43) Lisaks sellele töötlevad ametiasutused isikuandmeid avalike huvidega seotud eesmärgil ametlikult tunnustatud religioossete ühenduste konstitutsiooniõiguses või rahvusvahelises avalikus õiguses sätestatud eesmärkide saavutamiseks.
(44) Kui valimisprotsessi käigus eeldab liikmesriigi demokraatlik süsteem, et poliitilised parteid koguvad andmeid inimeste poliitiliste veendumuste kohta, võib selliste andmete töötlemine olla lubatud avalike huvidega seotud põhjustel ja tingimusel, et rakendatakse vajalikke kaitsemeetmeid.
(45) Juhul kui vastutav töötleja töötleb selliseid andmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima lisateavet ainult käesoleva määruse järgimiseks. Juurdepääsutaotluse korral on vastutaval töötlejal õigus küsida andmesubjektilt lisateavet, mis võimaldaks vastutaval töötlejal leida isikuandmed, mida see isik otsib. Kui andmesubjektil on võimalik selliseid andmeid anda, ei tohiks vastutavatel töötlejatel olla võimalik õigustada teabe puudumisega juurdepääsutaotlusest keeldumist. [ME 22]
(46) Läbipaistvuspõhimõte nõuab, et üldsusele ja andmesubjektile suunatud teave peaks olema lihtsalt kättesaadav, arusaadav ning selgelt ja lihtsalt sõnastatud. Eriti asjakohane on see sellistes olukordades nagu näiteks veebireklaam, mille puhul osapoolte arvukuse ja tehnoloogilise keerukuse tõttu on andmesubjektil keeruline teada saada ja mõista, kas kogutakse nende isikuandmeid, kes neid kogub ja millisel eesmärgil. Arvestades, et lapsed vajavad erilist kaitset, peaks laste isikuandmete töötlemisel kogu teave olema ja suhtlemine toimuma selges ja lihtsas keeles, mida laps kergesti mõistab.
(47) Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil tasuta taotledasaada eelkõige juurdepääsu andmetele, õigust andmeid parandada ja kustutada ning kasutada vaidlustamisõigust. Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele kindlaksmääratudmõistliku tähtaja jooksul ning vastamisest keeldumise korral seda põhjendama. [ME 23]
(48) Õiglase ja läbipaistva töötlemise põhimõte nõuab, et andmesubjekti tuleks teavitada eelkõige töötlemistoimingu tegemisest ja selle eesmärkidest ning tõenäolisest andmete igal otstarbel säilitamise tähtajast, nendegakui andmed edastatakse kolmandatele isikutele või kolmandatele riikidele, vaidlustamismeetmete olemasolust, andmetega tutvumise, nende muutmise ja kustutamise nõudmise ning kaebuse esitamise õigusest. Kui andmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud andmeid esitama, ja andmete esitamata jätmise tagajärgedest. Seda teavet tuleks andmesubjektile anda – mis võib ka tähendada, et see tehakse hõlpsasti kättesaadavaks – pärast lihtsustatud teabe esitamist standardsete ikoonide kujul. Samuti võib see tähendada, et isikuandmeid töödeldakse viisil, mis võimaldab andmesubjektil oma õigusi tõhusalt kasutada. [ME 24]
(49) Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle asjaoludest olenevalt kas kogumise ajal või mõistliku ajavahemiku jooksul, juhul kui andmeid ei koguta andmesubjektilt. Kui andmeid võib õiguspäraselt avaldada muule isikule, teavitatakse andmesubjekti sellest andmete esmakordsel avaldamisel.
(50) Sellist kohustust ei pea siiski kehtestama juhul, kui andmesubjektilandmesubjekt on see teavesellest teabest juba olemasteadlik või juhul, kui andmete kogumine või avaldamine on õigusnormides selgelt sätestatud või kui andmesubjekti teavitamine osutub võimatuks või nõuaks ebaproportsionaalselt suuri jõupingutusi. Viimati nimetatu võib osutuda eriti asjakohaseks juhul, kui töötlemine toimub ajaloo- või statistikauurimuste ning teadustöö eesmärgil; sellisel juhul võib arvesse võtta andmesubjektide arvu, andmete vanust ja kõiki vastuvõetud kompenseerivaid meetmeid. [ME 25]
(51) Selleks, et töötlemisest teada ja kontrollida selle seaduslikkust, peaks igaühel olema õigus tutvuda andmetega, mis on tema kohta kogutud, ja õigus selle õiguse lihtsale kasutamisele. Igal andmesubjektil peaks seega olema õigus teada eelkõige andmete töötlemise eesmärke, hinnangulist ajavahemikku, andmete saajaid, töödeldavate andmete üldist loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt profiilianalüüsi korral) ning saada eelneva kohta teavet. See õigus ei tohiks kahjustada teiste isikute õigusi ja vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning, naguseoses eelkõige tarkvara kaitsvat autoriõigust kaitsva autoriõigusega. Sellise kaalutlemise tulemus ei tohiks aga olla see, et andmesubjektile ei anta üldse teavet. [ME 26]
(52) Vastutav töötleja peaks kasutama juurdepääsu taotleva andmesubjekti isiku tuvastamiseks kõiki mõistlikke meetmeid, seda eelkõige sidusteenuste ja veebiidentifikaatorite korral. Vastutav töötleja ei tohiks isikuandmeid säilitada üksnes selleks, et suuta reageerida võimalikele päringutele.
(53) Igal isikul peaks olema õigus teda käsitlevate isikuandmete parandamisele ja õigus olla unustatudandmete kustutamisele juhul, kui selliste andmete säilitamine ei ole kooskõlas käesoleva määrusega. Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele eelkõige siis, kui andmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on loobunud oma töötlemisele antud nõusolekust või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele. Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada. Andmete jätkuv säilitamine peaks olema lubatud aga juhul, kui see on vajalik ajaloo- või statistikauurimuste ning teadustöö eesmärgil, rahvatervise valdkonna avalikes huvides, seadusega tagatud väljendusvabaduse õiguse kasutamiseks või kui esineb andmete töötlemise piiramise, mitte nende kustutamise põhjus. Lisaks ei tuleks andmete kustutamise õigust kohaldada, kui isikuandmete säilitamine on vajalik andmesubjektiga sõlmitud lepingu täitmiseks või kui kehtib seadusjärgne kohustus andmed säilitada. [ME 27]
(54) Selleks et tugevdada võrgukeskkonnas õigust olla unustatud andmete kustutamisele, tuleks laiendada õigust andmete kustutamisele selliselt, et isikuandmed avaldanud vastutav töötleja on kohustatud teavitama andmeid töötlevaid kolmandaid isikuid andmesubjekti taotlusest kustutada mis tahes lingid nimetatud isikuandmetele ja andmekoopiad ja -kordused. Teavitamise tagamiseks peaks vastutav töötleja võtmategema kõik mõistlikud meetmed,vajaliku, et andmed saaks kustutatud, sealhulgas tehnilised meetmed, mis on seotud andmetega, mille avaldamise eest vastutav töötleja vastutab. Kui isikuandmed avaldab kolmas isik, peaks avaldamise eest vastutama kolmandale isikule avaldamise loa andnud vastutav töötleja kolmandate isikute poolt, kuid ilma et see piiraks andmesubjekti õigust nõuda hüvitist. [ME 28]
(54a) Andmed, mida andmesubjekt seab kahtluse alla ning mille täpsust või ebatäpsust ei saa kindlaks teha, tuleks blokeerida kuni küsimuse lahendamiseni. [ME 29]
(55) Selleks et tugevdada kontrolli oma andmete ja nendega tutvumise õiguse üle, peaks andmesubjektidel olema struktureeritud ja üldkasutatavas vormingus olevate isikuandmete elektroonilise töötlemise puhul õigus saada neid käsitlevate andmete koopia samuti üldkasutatavas elektroonilises vormingus. Andmesubjektil peaks olema võimalik edastada enda esitatud andmeid ühest automatiseeritud rakendusest (näiteks sotsiaalvõrgustikust) teise. Vastutavaid töötlejaid peaks julgustama arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. Seda tuleks kohaldada juhul, kui andmesubjekt esitas andmed automatiseeritud töötlemissüsteemi nõusoleku alusel või lepingu täitmisel. Infoühiskonna teenuste osutajad ei tohiks muuta oma teenuste osutamisel kohustuslikuks nende andmete edastamist. [ME 30]
(56) Juhul kui isikuandmeid võib seaduslikult töödelda andmesubjekti eluliste huvide kaitsmiseks, ametiasutuse avalikes huvides või vastutava töötleja õiguspärastes huvides, on igal andmesubjektil ikkagi õigus teda käsitlevate andmete töötlemine tasuta, lihtsalt ja tulemuslikult vaidlustada. Tõendamiskohustus peaks lasuma vastutaval töötlejal, kes peaks tõendama, et tema õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused. [ME 31]
(57) Kui isikuandmeid töödeldakse otseturunduse eesmärgilandmesubjektil on õigus töötlemine vaidlustada, peaks olema andmesubjektil õigus selline töötlemine tasuta, lihtsalt ja tulemuslikult vaidlustadavastutav töötleja seda andmesubjektile sõnaselgelt pakkuma arusaadaval viisil ja arusaadavas vormis, kasutades selget ja lihtsat keelt ning muust teabest selgelt eristatuna. [ME 32]
(58) Igal füüsilisel isikul peaks olema õigus sellele profiilianalüüs vaidlustada, ilma et tema suhtes ei kohaldata automatiseeritud töötlemise teel tehtaval profiilianalüüsil põhinevat meedetsee piiraks andmetöötluse õiguspärasust. Selline meedeprofiilianalüüs, mis viib andmesubjekti puudutavaid õiguslikke tagajärgi põhjustavate meetmeteni või mõjutab oluliselt asjaomase andmesubjekti huvisid, õigusi või vabadusi, peaks olema lubatud agaainult siis, kui see on selgesõnaliselt lubatud seadusega, seda kasutatakse lepingu sõlmimisel või täitmisel või siis, kui andmesubjekt on selleks andnud oma nõusoleku. Igal juhul tuleks sellise töötlemise korral kohaldada sobivaid kaitsemeetmeid, kaasa arvatud andmesubjektile antavat konkreetset teavet, õigust otsesele isiklikule kontaktile ning seda, et sellist meedet ei tohiks kohaldata lapse puhul. Sellised meetmed ei tohi põhjustada üksikisikute diskrimineerimist rassi, etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, seksuaalse sättumuse või soolise identiteedi tõttu. [ME 33]
(58a) Üksnes varjunimega tähistatud andmete töötlemisel põhineva profiilianalüüsi puhul ei tuleks eeldada, et see mõjutab oluliselt andmesubjekti huve, õigusi või vabadusi. Kui profiilianalüüs, mis põhineb kas ühest allikast pärit varjunimega tähistatud andmetel või eri allikatest pärit varjunimega tähistatud andmete koondamisel, võimaldab vastutaval töötlejal viia varjunimega tähistatud andmed kokku konkreetse andmesubjektiga, ei tuleks töödeldud andmeid enam käsitada varjunimega tähistatud andmetena. [ME 34]
(59) Konkreetsete põhimõtete, õiguste saada seoses isikuandmetega teavet, nendega andmetega tutvuda, neid parandada ja kustutada, õiguse andmetega tutvumisele ja andmete ülekantavusele saamisele, vaidlustamisõiguse, profiilianalüüsil põhinevate meetmete profiilianalüüsi, andmesubjekti isikuandmetega seotud rikkumisest teavitamise ning vastutavate töötlejate teatavate seonduvate kohustuste piirangud võib kehtestada ELi või liikmesriikide õigusaktidega, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada avalik julgeolek, sealhulgas inimelude kaitsmine eelkõige loodus- ja inimtegevusest tingitud õnnetuste korral, kuritegude ja reguleeritud kutsealade ametieetika rikkumise tõkestamine, uurimine ja nende eest vastutusele võtmine, ELi või liikmesriigi muu konkreetne ja selgelt määratletud avalik huvi, eelkõige ELi või liikmesriigi oluline majandus- või finantshuvi, andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse. Nimetatud piirangud peaksid vastama hartas ning inimõiguste ja põhivabaduste kaitse Euroopa konventsioonis sätestatud nõuetele. [ME 35]
(60) Tuleks kehtestada vastutava töötleja laialdane vastutus temapoolse ja tema nimel toimuva isikuandmete mis tahes töötlemise eest, eelkõige seoses dokumentidega, andmete turvalisusega, mõjuhinnangutega, andmekaitseametnikuga ning andmekaitseasutuste järelevalvega. Eelkõige peaks vastutav töötleja tagama iga töötlemistoimingu kooskõla käesoleva määrusega, samuti on ta kohustatudpeaks ta suutma seda kooskõla tõendama tõendada. Seda peaksid kontrollima sõltumatud sise- või välisaudiitorid. [ME 36]
(61) Andmesubjektide õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab vajalike tehniliste ja korralduslike meetmete võtmist nii töötlemise kavandamise kui ka töötlemise ajal, et tagada käesoleva määruse nõuete täitmine. Käesoleva määruse täitmise tagamiseks ja selle tõendamiseks peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama asjakohaseid meetmeid, mis vastavad eelkõige isikuandmete lõimitud ja vaikimisi kaitse põhimõtetele. Isikuandmete lõimitud kaitse põhimõte eeldab andmekaitse integreerimist tehnoloogia kogu olelusringi, algsest projekteerimisest selle kasutuselevõtu, kasutamise ja lõpliku kõrvaldamiseni. See peaks samuti hõlmama vastutust vastutava või volitatud töötleja kasutatavate toodete ja teenuste eest. Isikuandmete vaikimisi kaitse põhimõte nõuab seda, et toodete ja teenuste eraelukaitse seaded vastaksid vaikimisi sellistele andmekaitse üldpõhimõtetele nagu minimaalne andmehulk ja eesmärgi piiritlemine. [ME 37]
(62) Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas järelevalveasutuste teostatava kontrolli ja võetavate meetmete korral nõuab vastutusvaldkondade selget jaotamist käesolevas määruses, seda ka juhul kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui töötlemistoimingut teostatakse vastutava töötleja nimel. Kaasvastutavate töötlejate vaheline kord peaks kajastama kaasvastutavate töötlejate tegelikke rolle ja suhteid. Käesoleva määruse kohane isikuandmete töötlemine peaks hõlmama vastutavale töötlejale loa andmist andmete edastamiseks kaasvastutavale töötlejale või volitatud töötlejale andmete töötlemiseks nende nimel. [ME 38]
(63) Kui väljaspool ELi asuv vastutav töötleja töötleb ELis elavateELi andmesubjektide isikuandmeid ja tema töötlemistoimingud on seotud kaupade või teenuste pakkumisega sellistele andmesubjektidele või nende käitumise jälgimisega, peaks vastutav töötleja nimetama esindaja, välja arvatud juhul, kui vastutav töötleja asub kolmandas riigis, mis tagab kaitse piisava taseme, vastutavavõi kui töötlemine on seotud vähem kui 5000 andmesubjektiga mis tahes järjestikuse 12kuulise ajavahemiku jooksul ning seda ei teostata isikuandmete eriliikide puhul, või kui vastutav töötleja on väike- või keskmise suurusega ettevõte, avaliku sektori asutus või organ või kui vastutav töötleja pakub sellistele andmesubjektidele kaupu või teenuseid ainult juhuti. Esindaja peaks tegutsema vastutava töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused. [ME 39]
(64) Selleks et määrata kindlaks, kas vastutav töötleja pakub ELis elavateleELi andmesubjektidele kaupu ja teenuseid ainult juhuti, tuleks kontrollida, kas vastutava töötleja kogu tegevuse põhjal on ilmne, et sellistele andmesubjektidele kaupade ja teenuste pakkumine on tema kõrvaltegevus. [ME 40]
(65) Selleks et oleks võimalik tõendada käesoleva määruse täitmise tõendamisekstäitmist, peaks vastutav töötleja või volitatud töötleja dokumenteerima iga töötlemistoimingu säilitama vajalikke dokumente, et täita käesoleva määrusega sätestatud nõudeid. Iga vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema nimetatud dokumendid taotluse korral kättesaadavaks, et neid saaks kasutada nimetatud töötlemistoimingute kontrollimiseks käesolevale määrusele vastavuse hindamiseks. Lisaks dokumentide koostamisele tuleks rõhutada ja tähtsustada ka häid tavasid ja nõuetele vastavust.. [ME 41]
(66) Turvalisuse tagamiseks ja käesoleva määruse vastase töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohte ja rakendama meetmeid asjaomaste riskide leevendamiseks. Võttes arvesse tehnika taset ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Töötlemise turvalisuse tagamiseks tehniliste standardite ja korralduslike meetmete kehtestamisel peaks komisjon edendamatuleks edendada tehnoloogia neutraalsust, koostalitusvõimet ja innovatsiooni ning vajaduse korral tuleks ergutada koostööd kolmandate riikidega. [ME 42]
(67) Isikuandmetega seotud rikkumisega võib asjaomasele üksikisikule kaasneda oluline majanduslik ja sotsiaalne kahju, sealhulgas identiteedipettus, kui sellega piisavalt ja õigeaegselt ei tegelda. Seetõttu niipea, kuipeaks vastutav töötleja sellise rikkumise toimumisest teada saab, peaks ta teatama rikkumisest viivitamata järelevalveasutusele, tehes seda võimaluse korral 24eeldatavasti hiljemalt 72 tunni jooksul. Kui 24 tunni jooksul teatamine ei ole võimalik,Asjakohasel juhul tuleks teatisele lisada selle hilinemise põhjused. Üksikisikut, kelle isikuandmeid rikkumine kahjustada võib, tuleks teavitada põhjendamatu viivituseta, et nad saaksid võtta vajalikke ettevaatusabinõusid. Rikkumist tuleks pidada andmesubjekti isikuandmeid ja eraelu puutumatust kahjustavaks juhul, kui selle tulemuseks võib olla identiteedivargus või pettus, füüsiline kahju, märkimisväärne alandamine või maine kahjustamine. Teatises tuleks kirjeldada isikuandmetega seotud rikkumise olemust ja anda asjaomasele üksikisikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teatis tuleks saata andmesubjektile nii kiiresti kui võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjakohaste asutuste (nt õiguskaitseasutuste) suunistest. Näiteks andmesubjekti võimalus vähendada kahju tekkimise otsest ohtu nõuab tema operatiivset teavitamist, samas kui võimalus rakendada asjakohaseid meetmeid isikuandmetega seonduvate jätkuvate või samalaadsete rikkumiste vastu võib õigustada pikemat tähtaega. [ME 43]
(68) Selleks et määrata kindlaks, kas isikuandmetega seotud rikkumisest on teatatud järelevalveasutusele ja andmesubjektile asjatu viivituseta, tuleks kontrollida, kas vastutav töötleja on rakendanud ja kohaldanud asjakohaseid tehnoloogilise kaitse ja korralduslikke meetmeid, et viivitamata kindlaks teha, kas isikuandmetega seotud rikkumine on toimunud, ning teavitada sellest viivitamata järelevalveasutust ning andmesubjekti, enne kui kahjustatakse isiklikke ja majandushuve kaitsmisele, võttes arvesse eelkõige isikuandmetega seotud rikkumise laadi, tõsidust ja tagajärgi ning kahjulikku mõju andmesubjektile.
(69) Isikuandmetega seotud rikkumisest teatamise vormide ja korra kohta üksikasjalike eeskirjade koostamisel tuleks võtta arvesse ka rikkumise asjaolusid, sealhulgas seda, kas isikuandmed olid kodeeritud või mõnel muul sellisel moel kaitstud asjakohaste tehniliste kaitsemeetmetega, mis vähendab tõhusalt identiteedipettuse või muu väärkasutuse tõenäosust. Lisaks tuleks sellistes eeskirjades ja korras arvesse võtta õiguskaitseasutuste õigustatud huve juhtudel, kui varajane avalikustamine võib tarbetult takistada rikkumise asjaolude uurimist.
(70) Direktiivis 95/46/EÜ nähti ette üldine kohustus teatada isikuandmete töötlemisest järelevalveasutustele. Kõnealune kohustus põhjustab haldus- ja finantskoormust, kuid see ei aidanud alati parandada isikuandmete kaitset. Seega tuleks selline valimatu üldise teatamise kohustus kaotada ning asendada see tõhusate menetluste ja mehhanismidega, mille raames keskendutakse hoopis neile töötlemistoimingutele, mis oma laadi, ulatuse või eesmärgi poolest võivad endast tõenäoliselt kujutada konkreetset ohtu andmesubjektide õigustele ja vabadustele. Sellistel juhtudel peaks vastutav töötleja või volitatud töötleja koostama enne töötlemist isikuandmete kaitse alase mõjuhinnangu, mis peaks eelkõige sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme isikuandmete kaitse tagamiseks ning käesoleva määruse täitmise tõendamiseks.
(71) Seda tuleks eelkõige kohaldada hiljuti loodud suurte toimikusüsteemide puhul, mille eesmärk on töödelda suurt hulka isikuandmeid piirkondlikul, riiklikul või rahvusvahelisel tasandil ning mis võivad mõjutada paljusid andmesubjekte.
(71a) Mõjuhinnangud moodustavad igasuguse jätkusuutliku andmetöötlusraamistiku tuuma ning tagavad, et ettevõtted on algusest peale teadlikud oma andmetöötlustoimingute kõigist võimalikest tagajärgedest. Põhjalike mõjuhinnangutega on võimalik andmetega seotud rikkumisi või privaatsusesse tungimise toiminguid täielikult piirata. Isikuandmete kaitse alane mõjuhinnang peaks seega arvesse võtma tervet isikuandmete korraldamise olelusringi, alates andmete kogumisest ja andmete töötlemisest kuni nende kustutamiseni, kirjeldades üksikasjalikult kavandatud töötlemistoiminguid, riske andmesubjektide õigustele ja vabadustele, kavandatavaid riskiga tegelemise meetmeid, kaitse- ning turvameetmeid ja mehhanisme, et tagada käesoleva määruse täitmine. [ME 44]
(71b) Vastutavad töötlejad peaksid keskenduma isikuandmete kaitsele andmete kogu olelusringi kestel, nende kogumisest töötlemise ja hävitamiseni, panustades algusest peale jätkusuutliku andmehalduse raamistikku ja täiendades seda põhjaliku täitmismehhanismiga. [ME 45]
(72) On juhtumeid, mille puhul võib olla mõistlik ja säästlik hõlmata isikuandmete kaitse alase mõjuhinnanguga rohkem kui üht projekti, näiteks juhul, kui avaliku sektori asutused või organid kavatsevad kasutusele võtta ühise rakenduse või töötlemisplatvormi või mitu vastutavat töötlejat kavatseb kasutusele võtta ühise rakenduse või töötlemiskeskkonna terves tööstusharus või allharus või laialdaselt kasutatava horisontaalse tegevuse puhul.
(73) Kui isikuandmete kaitse alaseid mõjuhinnanguid ei ole koostatud juba selliste siseriiklike õigusaktide vastuvõtmisel, millele avaliku sektori asutuse või organi ülesannete täitmine tugineb ja millega reguleeritakse kõnealuseid konkreetseid töötlustoiminguid või nende kogumit, peaks avaliku sektori asutus või organ koostama sellise mõjuhinnangu. [ME 46]
(74) Kui isikuandmete kaitse alasest mõjuhinnangust ilmneb, et töötlemistoimingud või konkreetse uue tehnoloogia kasutuselevõtt on seotud mitmete konkreetsete ohtudega andmesubjektide õigustele ja vabadustele, näiteks jättes üksikisikud ilma nende õigustest, konsulteeritakse enne tegevuse alustamist andmekaitseametniku või järelevalveasutusega ohtliku töötlemise asjus, mis ei pruugi käesoleva määrusega kooskõlas olla, ning tegemaks ettepanekuid sellise olukorra lahendamiseks. SellineJärelevalveasutusega konsulteerimine peaks toimuma ka siis, kui valmistatakse ette kas liikmesriigi parlamendi meedet või sellisel õigusaktil põhinevat meedet, millega määratakse kindlaks töötlemise laad ja nähakse ette vajalikud kaitsemeetmed. [ME 47]
(74a) Mõjuhinnangutest on kasu vaid siis, kui vastutavad töötlejad tagavad neis algselt antud lubaduste täitmise. Vastutavad töötlejad peaksid seega korrapäraselt viima läbi andmekaitse vastavuse kontrolle, et näidata, et olemasolevad andmetöötlemise mehhanismid vastavad isikuandmete kaitse alases mõjuhinnangus püstitatud lubadustele. Samuti peaks see näitama vastutava töötleja suutlikkust austada andmesubjektide iseseisvaid otsuseid. Kui kontrolli käigus leitakse vastavuses ebakõlasid, tuleks need esile tuua ning esitada soovitusi täieliku vastavuse saavutamiseks. [ME 48]
(75) Kui töötlemine toimub avalikus sektoris või erasektoris suurettevõtte pooltja puudutab enam kui 5000 andmesubjekti 12 kuu jooksul või kui ettevõtte põhitegevus, olenemata tema suurusest, hõlmab tundlikke andmeid puudutavaid töötlustoiminguid või töötlustoiminguid, mis nõuavad regulaarset ja süstemaatilist järelevalvet, peaks vastutavat töötlejat või volitatud töötlejat abistama isik, kes kontrollib käesoleva määruse täitmist asutuse poolt. Selle kindlakstegemisel, kas töödeldakse andmeid suure arvu andmesubjektide kohta, ei tohiks arvesse võtta arhiveeritud andmeid, mis on piiratud selliselt, et vastutav töötleja ei saa tavapärasel viisil nendega tutvuda ega teha nendega töötlemistoiminguid, ning mida ei saa enam muuta. Sellistel andmekaitseametnikel, olgu nad siis vastutava töötleja töövõtjad või mitte ja täitku nad seda ülesannet täiskoormusega või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatult ning nad peaksid olema eriliselt kaitstud vallandamise eest. Lõplik vastutus peaks lasuma organisatsiooni juhtkonnal. Andmekaitseametnik peab isikuandmete automaatseks töötlemiseks mõeldud süsteemide kavandamise, hankimise, arendamise ja paigaldamise eelnevalt läbi arutama kavandatud ja ettenähtud isikuandmete kaitse tagamiseks. [ME 49]
(75a) Andmekaitseametnikul peaksid olema vähemalt järgmised kutseoskused: laialdased teadmised isikuandmete kaitse alaste õigusaktide sisust ja kohaldamisest, sealhulgas tehnilised ja organisatsioonilised meetmed; andmekaitse ja andmete turvalisusega seotud tehniliste nõudmiste alane kogemus; valdkonnaspetsiifilised teadmised vastavalt andmetöötluse mahule ja töödeldavate andmete delikaatsusele; võime kontrollida, konsulteerida, dokumenteerida ja logifaili analüüsida; oskus teha koostööd töötajate esindajatega. Vastutav töötleja peaks võimaldama andmekaitseametnikul osaleda täiendõppes, et alal hoida tema ülesannete täitmiseks vajalikke eriteadmisi. Andmekaitseametniku määramine ei eelda asjaomaselt töötajalt tingimata täiskohaga tööd. [ME 50]
(76) Vastutavate töötlejate eri kategooriaid esindavaid ühendusi ja muid organeid tuleks kutsuda üles koostama pärast töötajate esindajatega konsulteerimist käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse konkreetsetes sektorites toimuva töötlemise eriomadusi. Sellised juhendid peaksid tegema käesoleva määruse nõuete järgimise majandusharu jaoks lihtsamaks. [ME 51]
(77) Selleks et parandada läbipaistvust ja käesoleva määruse järgimist, tuleks soodustada sertifitseerimismehhanismide, isikuandmete kaitse pitserite ja standarditud märgiste kehtestamist, mis annavad andmesubjektidele võimaluse kiiresti, usaldusväärselt ja kontrollitavalt hinnata asjakohaste toodete ja teenuste isikuandmete kaitse taset. Euroopa tasandil tuleks luua märgis „Euroopa isikuandmete kaitse pitser”, et äratada andmesubjektides usaldust, pakkuda vastutavatele töötlejatele õiguskindlust ja samal ajal eksportida Euroopa andmekaitsestandardeid, võimaldades Euroopa-välistel ettevõtetel siseneda kergemini Euroopa turgudele, kui nad on sertifitseeritud. [ME 52]
(78) Isikuandmete liikumine üle piiride on vajalik rahvusvahelise kaubanduse ja koostöö laiendamiseks. Nimetatud voogude suurenemine on laiendanud isikuandmete kaitsega seonduvate probleemide ringi. Isikuandmete edastamisel EList kolmandatele riikidele ja rahvusvahelistele organisatsioonidele ei tohiks aga kahjustada ELis käesoleva määrusega tagatud üksikisikute kaitse taset. Igal juhul tohib andmeid kolmandatele riikidele edastada ainult käesolevat määrust täielikult järgides.
(79) Käesolev määrus ei piira ELi ja kolmandate riikide vahel sõlmitud selliste rahvusvaheliste lepingute kohaldamist, millega reguleeritakse isikuandmete edastamist, sealhulgas asjakohaseid andmesubjektide kaitsmise meetmeid, mis tagavad kodanike põhiõiguste kaitse piisava taseme. [ME 53]
(80) Komisjon võib terve ELi osas otsustada, et teatavad kolmandad riigid, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon pakub isikuandmete kaitset piisaval tasemel, tagades seega terves ELis õiguskindluse ja ühtsuse seoses kolmandate riikide ja rahvusvaheliste organisatsioonidega, mis tagavad isikuandmete kaitse piisava taseme. Sellisel juhulKomisjon võib isikuandmete edastamine kõnealustesse riikidesse toimuda ilma täiendava loataühtlasi otsustada, olles teavitanud kolmandat riiki ja andnud sellele täieliku põhjenduse, sellise otsuse tagasi võtta. [ME 54]
(81) Kooskõlas põhiväärtustega, millele EL on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi hindamisel arvesse võtma seda, kuidas asjaomane kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest.
(82) Samuti võib komisjon tunnistada, et kolmas riik, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon ei paku isikuandmete kaitset piisaval tasemel. Selliseid seadusandlikke akte, millega nähakse ette piiriülene juurdepääs liidus töödeldud isikuandmetele ilma liidu või liikmesriigi õiguse kohase loata, tuleks käsitada piisavuse puudumise märgina. Sellest tulenevalt peaks olema keelatud isikuandmete edastamine kõnealusele kolmandale riigile. Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni konsultatsioonid. [ME 55]
(83) Kaitse piisavust käsitleva otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et tasakaalustada kolmanda riigi isikuandmete kaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad ettevõtluseeskirjad, komisjoni vastu võetud standardsed isikuandmete kaitse klauslid, järelevalveasutuse vastu võetud standardsed isikuandmete kaitse klauslid, järelevalveasutuse heaks kiidetud lepingusätted.ning muud kohased ja proportsionaalsed meetmed Need asjakohased kaitsemeetmed peaksid tagama sellise austuse andmesubjektide õiguste vastu, mis on põhjendatud andmete edastamise toimingu(te) kõigi asjaoludega ja mille järelevalveasutus on heaks kiitnud samaväärne ELi-siseses andmetöötluses kehtivaga, eriti seoses eesmärgi piiritlemisega, õigusega andmetega tutvumisele, nende muutmisele, kustutamisele ning nõuda hüvitist. Need kaitsemeetmed peaksid eelkõige tagama isikuandmete töötlemise põhimõtete järgimise, kaitsma andmesubjektide õigusi ning nägema ette tulemuslikud kahju hüvitamise mehhanismid, tagama isikuandmete lõimitud ja vaikimisi kaitse põhimõtete järgimise, tagama andmekaitseametniku olemasolu. [ME 56]
(84) Vastutavale töötlejale ja volitatud töötlejale antud võimalus kasutada komisjoni või järelevalveasutuse vastu võetud standardseid isikuandmete kaitse klausleid ei tohiks välistada vastutava töötleja ja volitatud töötleja võimalust lisada standardsed isikuandmete kaitse klauslid põhjalikumasse lepingusse ega võimalust lisada muid sätteid või täiendavaid kaitsemeetmeid, kui need ei lähe otseselt ega kaudselt vastuollu komisjoni või järelevalveasutuse vastu võetud standardsete isikuandmete kaitse klauslitega ega piira andmesubjektide põhiõigusi ja -vabadusi. Komisjoni poolt vastu võetud isikuandmete kaitse standardklauslid võiksid hõlmata eri olukordi, nimelt liidus asutatud volitatud töötlejate andmeedastusi väljaspool liitu asutatud volitatud töötlejatele ning liidus asutatud volitatud töötlejatelt väljaspool liitu asutatud vastutavatele töötlejatele, sh alltöötlejatele. Vastutavaid töötlejaid ja volitatud töötlejaid tuleks ergutada nägema ette tõhusamaid kaitsemeetmeid täiendavate lepinguliste kohustuste abil, mis täiendavad standardseid kaitseklausleid. [ME 57]
(85) Kontsern peaks saama andmete rahvusvahelise edastamise korral EList samasse kontserni kuuluvatele organisatsioonidele kasutada heakskiidetud siduvaid ettevõtluseeskirju, kui sellised eeskirjad hõlmavad kõiki olulisi põhimõtteid ja kohtulikult kaitstavaid õigusi, et tagada sobivad kaitsemeetmed isikuandmete edastamise eri liikide puhul. [ME 58]
(86) Andmete edastamine peaks olema võimalik teatavatel asjaoludel, kui andmesubjekt on andnud oma nõusoleku, kui edastamine on vajalik seoses lepingu või kohtumenetlusega, kui seda nõuab ELi või liikmesriikide õiguses sätestatud kaalukas avalik huvi või kui edastatakse seadusega loodud ja avalikkusele või kõigile õigustatud huviga isikutele tutvumiseks avatud registrist pärinevaid andmeid. Viimati nimetatud juhul ei tohiks edastada kõiki andmeid ega registris sisalduvate andmete kõiki liike ja juhul, kui register on mõeldud tutvumiseks õigustatud huviga isikutele, tuleks andmed edastada ainult kõnealuste isikute taotluse korral või juhul, kui nemad on andmete vastuvõtjad, võttes täielikult arvesse andmesubjekti huve ja põhiõigusi. [ME 59]
(87) Nimetatud erandid on asjakohased eelkõige selliste andmeedastustoimingute puhul, mis on vajalikud kaaluka avaliku huvi kaitsmiseks, näiteks andmete rahvusvahelisel edastamisel konkurentsi-, maksu- ja tolli-, finantsjärelevalve-, sotsiaalkindlustus-finantsjärelevalveasutuste, sotsiaalkindlustuse ja rahvatervise valdkonnas pädevate asutuste ning kuritegude tõkestamises, uurimises, avastamises või kuritegude eest vastutusele võtmises, sealhulgas rahapesu ja terrorismi rahastamise tõkestamises pädevate asutuste vahel. Isikuandmete edastamist tuleks pidada seaduslikuks ka siis, kui see on vajalik andmesubjekti või muu isiku eluliste huvide kaitsmiseks, kui andmesubjekt ei ole võimeline nõusolekut andma. Isikuandmete edastamist sellistel olulistel avaliku huvi põhjustel tuleks kasutada ainult juhuslike edastamiste puhul. Igal üksikul juhul tuleb hoolikalt kaaluda kõiki edastamise asjaolusid. [ME 60]
(88) Edastamine, mida ei saa pidada sagedaseks ega mahukaks, võib samuti toimuda vastutava töötleja või volitatud töötleja õigustatud huvides, kui ta on hinnanud andmeedastustoimingu kõiki asjaolusid. Isikuandmete töötlemise korral ajaloo- või statistikauurimuste ning teadustöö eesmärgil tuleks arvesse võtta ühiskonna õiguspäraseid ootusi laialdasemate teadmiste osas. [ME 61]
(89) Kõigil juhtudel, kui komisjon ei ole teinud otsust kolmanda riigi isikuandmete kaitse taseme piisavuse kohta, peaks vastutav töötleja või volitatud töötleja kasutama lahendusi, mis annavad andmesubjektidele õiguslikult siduva tagatise, et neil on pärast neid käsitlevate andmete edastamist samad põhiõigused ja nende suhtes kohaldatakse samu kaitsemeetmeid, kui andmete töötlemise korral liidus, tingimusel et töötlemine ei ole massiline, korduv ega struktuuriline. Tagatise alla peaks kuuluma rahaline hüvitamine kahju kannatamise või loata andmetega tutvumise või nende töötlemise korral ning siseriiklikest õigusaktidest olenemata kohustus esitada kõik üksikasjad iga korra kohta, mil andmetega on tutvunud kolmanda riigi avaliku sektori asutused. [ME 62]
(90) Mõned kolmandad riigid kehtestavad seadused, määrused ja muud õigusaktid, millega vahetult reguleeritakse liikmesriikide jurisdiktsiooni alla kuuluvate füüsiliste ja juriidiliste isikute andmetöötlustoiminguid. Nende seaduste, määruste ja muude õigusaktide kohaldamine väljaspool asjaomase kolmanda riigi territooriumi võib olla vastuolus rahvusvahelise õigusega ning takistada ELis käesoleva määrusega tagatud üksikisikute kaitse taseme saavutamist. Edastamine peaks olema lubatud ainult juhul, kui on täidetud käesoleva määruse tingimused kolmandatesse riikidesse edastamise kohta. Nii võib see olla muu hulgas siis, kui avaldamine on vajalik kaaluka avaliku huvi tõttu, mis on sätestatud kas ELi või liikmesriigi õiguses, mida vastutava töötleja suhtes kohaldatakse. Komisjon peaks täpsustama kaaluka avaliku huvi esinemise tingimusi delegeeritud õigusaktiga. Juhtudel, kui vastutavad töötlejad või volitatud töötlejad seisavad silmitsi vastuoluliste vastavuse nõuetega ühelt poolt liidu jurisdiktsiooni ning teiselt poolt kolmanda riigi jurisdiktsiooni vahel, peab komisjon tagama, et liidu õigus oleks alati ülimuslik. Komisjon peaks pakkuma vastutavale töötlejale ja volitatud töötlejale suuniseid ja abi ning püüdma lahendada jurisdiktsiooni konflikte kõnealuse kolmanda riigiga. [ME 63]
(91) Isikuandmete liikumine üle piiride võib raskendada üksikisikute võimalusi kasutada õigust isikuandmete kaitsele, eelkõige kaitsta end nimetatud teabe ebaseadusliku kasutamise ja avaldamise eest. Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega teostada uurimist väljapoole oma riigi piire jäävates küsimustes. Nende piiriülese koostöö püüdlusi võivad takistada ka ebapiisavad volitused tõkestamisel ja olukordade parandamisel, ebaühtlane õiguskord ja praktilised tõkked, nagu piiratud vahendid. Seepärast on vaja tihendada isikuandmete kaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet ja teostada uurimist koos teiste riikide järelevalveasutustega.
(92) Liikmesriikides täiesti sõltumatult oma tööülesandeid täitvate järelevalveasutuste loomine on oluline tegur üksikisikute kaitsmisel seoses nende isikuandmete töötlemisega. Liikmesriik võib luua mitu järelevalveasutust, et arvestada nende põhiseaduslikku, organisatsioonilist ja haldusstruktuuri. Asutusel on piisav personal ja piisavad rahalised vahendid oma rolli täielikuks täitmiseks, võttes arvesse elanikkonna suurust ja töödeldavate isikuandmete kogust. [ME 64]
(93) Kui liikmesriik loob mitu järelevalveasutust, peaks ta seadusega kehtestama mehhanismid, millega tagatakse nende järelevalveasutuste tõhus osalemine järjepidevuse mehhanismis. Eelkõige peaks kõnealune liikmesriik määrama järelevalveasutuse, kes tegutseb keskse kontaktpunktina nende asutuste tõhusaks osalemiseks mehhanismis, et tagada kiire ja takistusteta koostöö teiste järelevalveasutustega, Euroopa Andmekaitsenõukogu ja komisjoniga.
(94) Igale järelevalveasutusele tuleks anda piisavad rahalised ja inimressursid, hooned ja infrastruktuur pöörates erilist tähelepanu personali piisavate tehniliste ja õigusalaste oskuste, hoonete ja infrastruktuuri tagamisele, mis on vajalikud nende ülesannete, sealhulgas terve ELi järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks. [ME 65]
(95) Järelevalveasutuse liikmetele esitatavad üldtingimused tuleks kehtestada igas liikmesriigis seadusega ning eelkõige tuleks ette näha see, et liikmed peaks ametisse nimetama kas liikmesriigi parlament või valitsus, hoolitsedes nõuetekohaselt selle eest, et viia miinimumini poliitilise sekkumise võimalus, ning eeskirjad liikmete isikliku kvalifikatsiooni, huvide konfliktide vältimise ja ametiseisundi kohta. [ME 66]
(96) Järelevalveasutused jälgivad käesoleva määruse kohaldamist ja aitavad kaasa selle ühtsele kohaldamisele terves ELis, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel ning soodustada isikuandmete vaba liikumist siseturul. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga.
(97) Kui ELis asuva vastutava töötleja või volitatud töötleja tegevuse raames töödeldakse isikuandmeid mitmes liikmesriigis, peaks kontrollima vastutava töötleja või volitatud töötleja tervet ELi hõlmavat tegevusthõlmava tegevuse ühtse kontaktpunktina ja nende järelevalve eest vastutava juhtiva asutusena tegutsema ja võtma vastu seonduvad otsused üks järelevalveasutus, et parandada kohaldamise järjepidevust, õiguskindlust ja vähendada asjaomaste vastutavate töötlejate ja volitatud töötlejate halduskoormust. [ME 67]
(98) Selliseks ühtseks kontaktpunktiks olev pädevjuhtiv asutus on selle liikmesriigi järelevalveasutus, kus on vastutava töötleja või volitatud töötleja peamine tegevuskoht või esindaja. Teatud juhtudel võib pädeva asutuse taotlusel määrata juhtiva asutuse järjepidevuse mehhanismi abil Euroopa Andmekaitsenõukogu. [ME 68]
(98a) Andmesubjektid, kelle isikuandmeid töötleb teise liikmesriigi vastutav töötleja või volitatud töötleja, peaksid saama esitada kaebuse oma valitud järelevalveasutusele. Juhtiv andmekaitseasutus peaks koordineerima oma tööd teiste asjaomaste asutustega. [ME 69]
(99) Kuigi käesolevat määrust kohaldatakse ka liikmesriikide kohtute tegevuse suhtes, ei peaks järelevalveasutuste pädevus selleks, et kaitsta kohtunike sõltumatust nende ülesannete täitmisel, hõlmama isikuandmete töötlemist juhul, kui kohtud tegutsevad oma õigusliku pädevuse piires. Kõnealune erand peaks siiski rangelt piirduma õiguskaitseasutuste tegevusega kohtuasjades ega tohiks laieneda muule tegevusele, millega kohtunikud võivad olla seotud vastavalt siseriiklikele õigusaktidele.
(100) Selleks et tagada kogu liidus ühtlane järelevalve käesoleva määruse üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja volitused, sealhulgas uurimis-, õiguslikult siduva sekkumise, otsuste tegemise ja sanktsioonide kehtestamise volitused, eelkõige üksikisikute esitatud kaebuste puhul, ning volitused osaleda kohtumenetlustes. Järelevalveasutuste uurimisvolitusi seoses juurdepääsuga ruumidele tuleks kasutada kooskõlas ELi ja liikmesriikide õigusega. Eelkõige on see nii kohtu eelneva loa hankimise nõude puhul.
(101) Iga järelevalveasutus peaks võtma vastu andmesubjekti või avalikes huvides tegutseva ühenduse esitatud kaebuse ja küsimust uurima. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemus peaks olema võimalik kohtulikult läbi vaadata. Järelevalveasutus peaks teavitama andmesubjekti või ühendust kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile. [ME 70]
(102) Järelevalveasutuste avalikkusele suunatud teadlikkuse tõstmise meetmed peaksid hõlmama volitatud töötlejatele, sealhulgas mikro-, väike- ja keskmise suurusega ettevõtetele ning andmesubjektidele suunatud konkreetseid meetmeid.
(103) Järelevalveasutused peaksid abistama üksteist ülesannete täitmisel ja andma vastastikust abi, et tagada käesoleva määruse järjekindel kohaldamine ja täitmine siseturul.
(104) Igal järelevalveasutusel peaks olema õigus osaleda järelevalveasutuste ühisoperatsioonides. Taotluse saanud järelevalveasutus peaks olema kohustatud taotlusele vastama kindlaksmääratud ajavahemiku jooksul.
(105) Selleks et tagada käesoleva määruse ühtne kohaldamine terves ELis, tuleks kehtestada järelevalveasutuste vaheliseks ja komisjoniga tehtavaks koostööks järjepidevuse mehhanism. Kõnealust mehhanismi tuleks kohaldada eelkõige siis, kui järelevalveasutus kavatseb võtta meetmeid seoses töötlustoimingutega, mis on seotud kaupade või teenuste pakkumisega mitmes liikmesriigis asuvatele andmesubjektidele või selliste andmesubjektide jälgimisega või mis võivad oluliselt mõjutada isikuandmete vaba liikumist. Mehhanismi tuleks kohaldada ka siis, kui mis tahes järelevalveasutus või komisjon taotleb küsimuse käsitlemist järjepidevuse mehhanismi raames. Seejuures peaks olema andmesubjektil õigus järjepidevusele, kui ta leiab, et liikmesriigi andmekaitseasutus ei ole täitnud seda kriteeriumit. Nimetatud mehhanism ei tohi piirata mis tahes meedet, mida komisjon võib võtta oma aluslepingutest tulenevate volituste kasutamisel. [ME 71]
(106) Järjepidevuse mehhanismi kohaldamise korral peaks Euroopa Andmekaitsenõukogu esitama kindlaksmääratud ajavahemiku jooksul oma arvamuse, kui nii otsustatakse liikmete lihthäälteenamusega või kui seda taotleb mis tahes järelevalveasutus või komisjon.
(106a) Käesoleva määruse järjepideva kohaldamise tagamiseks võib Euroopa Andmekaitsenõukogu võtta üksikjuhtudel vastu otsuse, mis on pädevate järelevalveasutuste jaoks siduv. [ME 72]
(107) Selleks et tagada käesoleva määruse järgimine, võib komisjon vastu võtta käesolevat valdkonda käsitleva arvamuse või otsuse, mille alusel peab järelevalveasutus oma kavandatava meetme peatama. [ME 73]
(108) Selleks et kaitsta andmesubjektide huve, võib olla vaja tegutseda kiiresti, eriti siis, kui on olemas oht, et andmesubjekti õiguse kohtuliku kaitsmise võimalust võidakse märkimisväärselt takistada. Seetõttu peaks järelevalveasutusel olema võimalik võtta järjepidevuse mehhanismi kohaldamise korral konkreetse kehtivusajaga ajutisi meetmeid.
(109) Kõnealuse mehhanismi kohaldamine peaks olema järelevalveasutuse vastava otsuse õiguspärasuse ja täitmisele pööramise tingimus. Teistel piiriülese tähtsusega juhtudel võivad asjaomased järelevalveasutused kahepoolselt või mitmepoolselt pakkuda vastastikust abi ja teostada ühist uurimist, kasutamata selleks järjepidevuse mehhanismi.
(110) ELi tasandil tuleks luua Euroopa Andmekaitsenõukogu. See peaks asendama direktiivi 95/46/EÜ alusel loodud töörühma üksikisikute kaitseks seoses isikuandmete töötlemisega. Sinna peaksid kuuluma iga liikmesriigi järelevalveasutuse juht ja Euroopa andmekaitseinspektor. Komisjon peaks osalema nõukogu tegevuses. Euroopa Andmekaitsenõukogu peaks aitama kaasa käesoleva määruse ühtsele kohaldaminekohaldamisele terves ELis, sealhulgas nõustades komisjoniliidu institutsioone ja edendades järelevalveasutuste koostööd terves ELis, kaasa arvatud ühisoperatsioonide kooskõlastatust. Euroopa Andmekaitsenõukogu peaks täitma oma ülesandeid sõltumatult. Euroopa Andmekaitsenõukogu peaks tugevdama dialoogi selliste asjaomaste sidusrühmade nagu andmesubjektide liitude, tarbijaorganisatsioonide, vastutavate töötlejate ning muude asjakohaste sidusrühmade ja asjatundjatega. [ME 74]
(111) Igal andmesubjektilAndmesubjektidel peaks olema õigus esitada kaebus ükskõik millise liikmesriigi järelevalveasutusele ja õigus tõhusale õiguskaitsevahendile kooskõlas põhiõiguste harta artikliga 47, kui tanad on seisukohal, et temanende käesolevast määrusest tulenevaid õigusi on rikutud, või kui järelevalveasutus ei reageeri kaebusele ega võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. [ME 75]
(112) Mis tahes asutusel, organisatsioonil või ühingul, mille eesmärk on kaitsta andmesubjektide andmete kaitsega seonduvaid õigusijahuvemis tegutseb avalikes huvides ja mis on loodud liikmesriigi õigusakti alusel, peaks olema õigus esitada järelevalveasutusele andmesubjektide nõusolekul nende nimel kaebus või kasutada andmesubjekti volitusel õigust õiguskaitsevahendile andmesubjektide nimel või esitada andmesubjekti kaebusest sõltumatult oma kaebus, kui ta leiab, et käesolevat määrust on rikutud. [ME 76]
(113) Iga füüsilisel ja juriidilisel isikul peaks olema õigus õiguskaitsevahendile järelevalveasutuse teda käsitleva otsuse puhul. Järelevalveasutuse vastane hagi tuleks esitada selle liikmesriigi kohtutele, kus järelevalveasutus asub.
(114) Andmesubjekti õiguskaitse parandamiseks olukorras, kus pädev järelevalveasutus asub liikmesriigis, mis ei ole andmesubjekti elukohariik, võib andmesubjekt paludavolitada mis tahes avalikes huvides tegutseval asutusel, organisatsioonil või ühingul, mille eesmärk on kaitsta andmesubjektide andmete kaitsega seonduvaid õigusi ja huve, esitada andmesubjekti nimel hagi kõnealuse järelevalveasutuse vastu teise liikmesriigi pädevale kohtule. [ME 77]
(115) Olukorras, kus teises liikmesriigis asuv pädev järelevalveasutus ei võta seoses kaebusega meetmeid või on tema võetud meetmed ebapiisavad, võib andmesubjekt esitada oma tavapärases elukohariigis asuvale järelevalveasutusele taotluse, et see esitaks teise liikmesriigi pädevale kohtule hagi teise liikmesriigi järelevalveasutuse vastu. See ei kehti kolmandate riikide residentide kohta. Taotluse saanud järelevalveasutus võib otsustada, kas taotluse vastuvõtmine on asjakohane või mitte ning tema otsuse võib kohtulikult läbi vaadata. [ME 78]
(116) Vastutava töötleja või volitatud töötleja vastase hagi korral peaks hagejal olema võimalus esitada hagi kohtule liikmesriigis, kus vastutav töötleja või volitatud töötleja asub või ELi residentsuse puhul andmesubjekti elukohariigis, välja arvatud juhul, kui vastutav töötleja on liidu või liikmesriigi avaliku sektori asutus, kes teostab oma avalikku võimu. [ME 79]
(117) Kui on tõendeid, et üheaegselt on käimas kohtumenetlused erinevates liikmesriikides, peaksid kohtud üksteisega ühendust võtma. Kohtutel peaks olema võimalus kohtuasi lõpetada juhul, kui on pooleli paralleelne menetlus teises liikmesriigis. Liikmesriigid peaksid tagama, et kohtumenetluste tulemuslikkuse tagamiseks peaks olema võimalik kiiresti võtta meetmeid käesoleva määruse rikkumise heastamiseks või ärahoidmiseks.
(118) Igasuguse rahalise või mitterahalise kahju, mida üksikisikule võib põhjustada ebaseaduslik töötlemine, peaks kompenseerima vastutav töötleja või volitatud töötleja, kes võidakse sellest kohustusest vabastada üksnes kui ta tõestab, et ta ei ole kahju eest vastutav, seda eelkõige andmesubjekti süü või vääramatu jõu korral. [ME 80]
(119) Igale eraõiguslikule või avalik-õiguslikule isikule, kes ei järgi käesolevat määrust, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja hoiatavad ning nad peaksid võtma kõik meetmed karistuste täitmisele pööramiseks. Karistusi käsitlevate eeskirjade suhtes tuleks kohaldada nõuetekohaseid menetluslikke tagatisi kooskõlas liidu õiguse ja põhiõiguste harta üldpõhimõtetega, sealhulgas need, mis puudutavad õigust tõhusale õiguskaitsevahendile, õiglasele kohtumenetlusele ja topeltkaristamise keeldu. [ME 81]
(119a) Karistuste kohaldamisel peaksid liikmesriigid täielikult austama nõuetekohaseid menetluslikke tagatisi, sealhulgas õigust tõhusale õiguskaitsevahendile, õiglasele kohtumenetlusele ja topeltkaristamise keeldu. [ME 82]
(120) Selleks et tugevdada ja ühtlustada halduskaristusi käesoleva määruse rikkumise korral, peaksid igal järelevalveasutusel olema volitused karistada haldusrikkumiste eest. Käesolevas määruses tuleks loetleda need rikkumised ja sätestada asjaomase haldustrahvi ülemmäär, mis tuleks iga juhtumi puhul eraldi kindlaks määrata vastavalt konkreetsele olukorrale, eelkõige silmas pidades rikkumise laadi, raskusastet ja ajalist kestvust. Halduskaristuste kohaldamise erinevuste kompenseerimiseks võib kasutada ka järjepidevuse mehhanismi.
(121) Juhul kui isikuandmeid töödeldakse ainult ajakirjanduse jaoks või kunstilise või kirjandusliku eneseväljenduse huvides,Vajadusel tuleks isikuandmete töötlemise jaoks kohaldada erandit ette näha vabastusi või erandeid käesoleva määruse teatavate sätete nõuetest, et viia omavahel vastavusse isikuandmete kaitse õigus ja väljendusvabadusõigus, eelkõige Euroopa Liidu põhiõiguste harta artikliga 11 tagatud õigus saada ja levitada teavet. Seda tuleks kohaldada eelkõige isikuandmete töötlemise suhtes audiovisuaalvaldkonnas ning uudiste arhiivide ja perioodikaraamatukogude puhul. Seepärast peaksid liikmesriigid vastu võtma õigusaktid, millega kehtestatakse vabastused ja erandid, mis on vajalikud nimetatud põhiõiguste tasakaalustamise eesmärgil. Sellised vabastused ja erandid peaksid liikmesriigid vastu võtma üldpõhimõtete, andmesubjekti õiguste, vastutava töötleja ja volitatud töötleja, andmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamise, sõltumatute järelevalveasutuste koostöö ja ühtsuse ning andmete töötlemise eriolukordade kohta. Liikmesriigid ei tohiks siiski kehtestada erandeid käesoleva määruse muudest sätetest. Selleks et võtta arvesse väljendusvabadusõiguse tähtsust igas demokraatlikus ühiskonnas, tuleb tõlgendada selle vabadusega seonduvaid kontseptsioone näiteks ajakirjandust, üldiselt. Seepärast peaksid liikmesriigid klassifitseerima käesoleva määrusega kehtestatavate vabastuste ja erandite seisukohast tegevuse „ajakirjanduslikuna” siis, kui tegevuse, et hõlmata kõik tegevused, mille eesmärk on üldsusele teabe, arvamuste või ideede avaldamine, sõltumata nende edastamise kanalist, võttes samuti arvesse tehnoloogia arengut. Tegevus ei tohiks piirduda meediaettevõtjatega ning see võib toimuda tulunduslikel või mittetulunduslikel eesmärkidel. [ME 83]
(122) Terviseandmete kui põhjalikumat kaitset vääriva andmete eriliigi töötlemist põhjendatakse tihti mitme seadusliku põhjusega, näiteks üksikisiku ja terve ühiskonna kasuga, eelkõige piiriülese tervishoiu järjepidevuse tagamise kontekstis. Seetõttu tuleks käesoleva määrusega ühtlustada terviseandmete töötlemine, mille puhul rakendatakse konkreetseid ja sobivaid kaitsemeetmeid, et kaitsta üksikisikute põhiõigusi ja isikuandmeid. See hõlmab üksikisikute õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised.
(122a) Terviseandmeid töötlevale tervishoiutöötajale edastatavates andmetes esinevad nimed tuleks võimaluse korral muuta anonüümseks või asendada varjunimega, et identiteedist oleks teadlik vaid andmete töötlemist vajanud perearst või spetsialist. [ME 84]
(123) Terviseandmete töötlemine (ilma andmesubjekti nõusolekuta) võib olla avalikes huvides vajalik näiteks rahvatervise valdkonnas. Selles kontekstis tõlgendatakse „rahvatervist” Euroopa Parlamendi ja nõukogu 16. detsembri 2008. aasta määruse (EÜ) nr 1338/2008(9)(rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta) mõistes, mille kohaselt rahvatervis on kõik tervisega seotud asjaolud, täpsemalt terviseseisund, sealhulgas haigestumus ja puuded, terviseseisundit mõjutavad tegurid, tervishoiualased vajadused, tervishoiule eraldatud vahendid, tervishoiuteenuse osutamine ja selle üldine kättesaadavus, samuti kulutused tervishoiule ja selle rahastamine ning suremuse põhjused. Sellise terviseandmete avalikes huvides töötlemise tulemusel ei tohiks isikuandmeid muudel eesmärkidel töödelda kolmandad isikud, näiteks tööandjad, kindlustus- ja pangandusettevõtjad.
(123a) Tervist puudutavate isikuandmete kui andmete eriliigi töötlemine võib olla vajalik ajaloo- ja statistikauurimuste või teadustöö eesmärgil. Seepärast nähakse käesoleva määrusega ette erand nõusoleku nõuetest juhtudel, kui teadustöö teenib suurt avalikku huvi. [ME 86]
(124) Üksikisikute kaitse põhimõtteid nende isikuandmete töötlemisel tuleks kohaldada ka töösuhte ja sotsiaalkindlustuse kontekstis. Selleks etLiikmesriigid peaksid suutma reguleerida töövõtjate isikuandmete töötlemist töösuhte kontekstis, peaksid liikmesriigid seetõttu suutma kooskõlas käesoleva määrusega õigusaktiga vastu võttaja isikuandmete töötlemist sotsiaalkindlustuse kontekstis kooskõlas käesolevas määruses sätestatud eeskirjade ja miinimumstandarditega. Juhul kui asjaomases liikmesriigis on ette nähtud õiguslik alus töösuhte küsimuste reguleerimiseks töövõtjate esindajate ja ettevõtte või kontserni kontrolliva ettevõtte juhtkonna vahelise lepingu (kollektiivleping) kaudu või Euroopa Parlamendi ja nõukogu direktiivi 2009/38/EÜ(10) raames, võib sellise lepingu kaudu reguleerida ka isikuandmete töötlemise erieeskirjadtöötlemist töösuhte kontekstis. [ME 87]
(125) Selleks et isikuandmete töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil oleks seaduslik, tuleb selle juures järgida ka muid asjaomaseid õigusakte, näiteks kliinilisi uuringuid käsitlevaid õigusakte.
(125a) Isikuandmeid võivad täiendavalt töödelda ka arhiivid, kelle esmane ülesanne või juriidiline kohustus on arhivaale koguda, säilitada, anda nende kohta teavet, neid kasutada ja levitada avalikes huvides. Liikmesriikide seadusandlikes aktides tuleks ühendada õigus isikuandmete kaitsele arhiive ja haldusteabele juurdepääsu käsitlevate eeskirjadega. Liikmesriigid peaksid eelkõige Euroopa arhiivide töörühma ergutama koostama eeskirju, mis tagavad andmete konfidentsiaalsuse kolmandate isikute suhtes ning andmete autentsuse, tervikluse ja nõuetekohase säilitamise. [ME 88]
(126) Käesoleva määruse tähenduses hõlmab teadustegevus alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid, lisaks tuleks seejuures arvesse võtta Euroopa Liidu toimimise lepingu artikli 179 lõikes 1 sätestatud ELi eesmärki luua Euroopa teadusruum. Isikuandmete töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil ei tohi põhjustada isikuandmete töötlemist muudel eesmärkidel, välja arvatud andmesubjekti nõusolekul või liidu või liikmesriigi õiguse alusel. [ME 89]
(127) Seoses järelevalveasutuste volitustega saada vastutavalt töötlejalt või volitatud töötlejalt juurdepääs isikuandmetele ning ruumidele, võivad liikmesriigid õigusaktiga ja käesoleva määruse piires vastu võtta konkreetseid eeskirju, et kaitsta äri- ja muude samaväärsete saladuse hoidmise kohustusi niivõrd, kuivõrd see on vajalik isikuandmete kaitse õiguse ja saladuse hoidmise kohustuse ühildamiseks.
(128) Käesolev määrus austab ega piira staatust, mis siseriikliku õiguse kohaselt on liikmesriikides kirikutel ja usuühendustel või -kogukondadel, nagu on sätestatud Euroopa Liidu toimimise lepingu artiklis 17. Seega, kui liikmesriigis asuv kirik kohaldab käesoleva määruse jõustumise ajal terviklikkenõuetekohaseid eeskirju üksikisikute kaitse kohta isikuandmete töötlemisel, peaksid olemasolevad eeskirjad jääma kehtima, kui need viiakse käesoleva määrusega kooskõlla ja need tunnistatakse määrusele vastavaks. Sellistelt kirikutelt ja usuühendustelt tuleks nõuda, et nad looksid täielikult sõltumatu järelevalveasutuse. [ME 90]
(129) Selleks et täita käesoleva määruse eesmärke, täpsemalt kaitsta füüsiliste isikute põhiõigusi ja –vabadusi, eelkõige nende õigust isikuandmete kaitsele ja tagada ELis isikuandmete vaba liikumine, tuleks komisjonile anda Euroopa Liidu toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte. Eelkõige tuleks delegeeritud õigusaktid vastu võtta järgnevates valdkondades: töötlemise seaduslikkus; lapse nõusoleku kriteeriumideikoonipõhise teabe jagamise viisi ja tingimuste täpsustamine; õigus andmete eriliikide töötlemine; taotluse selgelt liiga mahukaks tunnistamise kriteeriumide ja tingimuste ning andmesubjekti õiguste kasutamise tasude täpsustamine; andmesubjekti teavitamise ja andmetega tutvumise õiguse kriteeriumid ja nõuded; õigus olla unustatud ja õigus nõuda andmete kustutamist; profiilianalüüsil põhinevad meetmed; vastutava töötleja vastutuse ning isikuandmete lõimitud ja vaikimisi kaitse kriteeriumid ja nõuded; volitatud töötleja; dokumenteerimise ja töötlemise turvalisuse kriteeriumid ja nõuded; isikuandmetega seotud rikkumise tuvastamise, sellest järelevalveasutusele teatamise ning olukorra, kus isikuandmetega seotud rikkumine võib tõenäoliselt kahjustada andmesubjekti, kriteeriumid ja nõuded; isikuandmete kaitse alast mõjuhinnangut nõudvate töötlemistoimingute kriteeriumid ja tingimused; eelnevat konsulteerimist nõudva konkreetse ja märkimisväärse ohtu määratlemise kriteeriumid ja nõuded; andmekaitseametniku määramine ja tema ülesanded;kustutamisele; teatamine, et toimimisjuhendid on käesoleva määrusega kooskõlas; sertifitseerimismehhanismidele esitatavad kriteeriumid ja nõuded; kolmanda riigi või rahvusvahelise organisatsiooni pakutava kaitse piisav tase; siduvate ettevõtluseeskirjade alusel edastamise kriteeriumid ja nõuded; edastamisega seonduvad erandid; halduskaristused; töötlemine tervise kaitse eesmärgil;ning töötlemine töösuhte kontekstis ning töötlemine ajaloo- või statistikauurimuste ning teadustöö eesmärgil. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil ja eriti Euroopa Andmekaitsenõukoguga. Komisjon peaks delegeeritud õigusaktide ettevalmistamise ja koostamise ajal tagama asjakohaste dokumentide sama- ja õigeaegse ning asjakohase edastamise Euroopa Parlamendile ja nõukogule. [ME 91]
(130) Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks anda komisjonile rakendusvolitused järgnevates valdkondades: kontrollitava nõusoleku saamise erimeetodite tüüpvormide kehtestamine seoses lapse isikuandmete töötlemise tüüpvormide kehtestamine töötlemisega; andmesubjektide õiguste kasutamisest teavitamise tüüpvormid; andmesubjektide õiguste kasutamise tüüpkord ja -vormid; andmesubjekti teavitamise tüüpvormid; andmetega tutvumise tüüpvormid ja -kord; õiguse andmete ülekantavusele; isikuandmete lõimitud ja vaikimisi kaitse ning dokumenteerimisega seonduva vastutavasealhulgas andmesubjektidele isikuandmete edastamiseks; nende dokumentidega seonduvad tüüpvormid, mida peavad pidama vastutav töötleja ja volitatud töötleja vastutuse tüüpvormid; töötlemise turvalisuse konkreetsed nõuded; isikuandmetega seotud rikkumisest järelevalveasutusele teatamise ningja isikuandmetega seotud rikkumisest andmesubjektile teatamise tüüpvorming ja -kord; isikuandmete kaitse alase mõjuhinnangu standardid ja kord rikkumise dokumenteerimise tüüpvorm; eelneva loa ja eelneva konsulteerimise ja järelevalveasutusele esitatava teabe vormid ja kord; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase;andmete avaldamine juhtudel, kui liidu õigusaktidega ei ole seda lubatud; vastastikune abi; ühisoperatsioonid; järjepidevuse mehhanismi raames tehtavad otsused. Kõnealuseid volitusi tuleks kasutada vastavalt Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrusele (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes(11). Seejuures peaks komisjon kaaluma konkreetsete meetmete kehtestamist mikro-, väike- ja keskmise suurusega ettevõtete jaoks. [ME 92]
(131) Arvestades, et allpool loetletud meetmed on üldise iseloomuga, tuleks kasutada nendejärgmiste erimeetodite tüüpvormide vastuvõtmisel kasutada kontrollimenetlust: lapsekontrollitava nõusoleku tüüpvormide kehtestamine saamise erimeetodid seoses lapse isikuandmete töötlemisega; andmesubjektide õiguste kasutamise tüüpkord ja -vormid; andmesubjekti teavitamise tüüpvormid kasutamisest teavitamine; andmesubjektide õigustekasutamine; andmetega tutvumise õiguse kasutamisetutvumine, sealhulgas andmesubjektidele isikuandmete edastamiseks; nende dokumentidega seonduv, mida peab pidama vastutav töötlejatüüpvormid ja -kord; õiguse andmete ülekantavusele; isikuandmete lõimitud ja vaikimisi kaitse ning dokumenteerimisega seonduva vastutava volitatud töötleja vastutuse tüüpvormid; töötlemise turvalisuse konkreetsed nõuded; isikuandmetega seotud rikkumisest järelevalveasutusele teatamise ningteatamine ja isikuandmetega seotud rikkumisest andmesubjektile teatamise tüüpvorming ja -kord; isikuandmete kaitse alase mõjuhinnangu standardid ja kord; eelneva loa ja eelneva konsulteerimise vormid ja kord; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; andmete avaldamine juhtudel, kui liidu õigusaktidega ei ole see lubatud; vastastikune abi; ühisoperatsioonid; järjepidevuse mehhanismi raames tehtavad otsused rikkumise dokumenteerimine; eelnev konsulteerimine ja järelevalveasutusele esitatav teave. [ME 93]
(132) Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse ebapiisava taseme või järjepidevuse mehhanismi raames järelevalveasutustele edastatud küsimustega, peaks komisjon olukorra tungiva kiireloomulisuse korral vastu võtma viivitamata kohaldatavad rakendusaktid. [ME 94]
(133) Kuna käesoleva määruse eesmärki, nimelt tagada terves ELis üksikisikute kaitse võrdne tase ja andmete vaba liikumine, ei suuda liikmesriigid piisavalt saavutada ning selle ulatuse ja toime tõttu on seda parem saavutada ELi tasandil, võib EL võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärgi saavutamiseks vajalikust kaugemale.
(134) Direktiiv 95/46/EÜ tuleks tunnistada käesoleva määrusega kehtetuks. Direktiivi 95/46/EÜ alusel komisjoni vastu võetud otsused ja järelevalveasutuste antud load peaksid siiski jääma kehtima. Komisjoni otsused ja järelevalveasutuste antud load, mis on seotud isikuandmete edastamisega kolmandatele riikidele artikli 41 lõike 8 alusel, peaksid jääma kehtima viieaastaseks üleminekuperioodiks pärast käesoleva määruse jõustumist, välja arvatud juhul, kui komisjon neid enne selle ajavahemiku lõppu muudab, need asendab või need kehtetuks tunnistab. [ME 95]
(135) Käesolevat määrust tuleks kohaldada kõigil isikuandmete töötlemise valdkonna põhiõiguste ja -vabaduste kaitsmisega seotud juhtudel, mille suhtes ei kohaldata sama eesmärgiga konkreetseid kohustusi, mis on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 2002/58/EÜ(12), sealhulgas vastutava töötleja kohustusi ja üksikisikute õigusi. Käesoleva määruse ja direktiivi 2002/58/EÜ seose täpsustamiseks tuleks direktiivi vastavalt muuta.
(136) Islandi ja Norra puhul kujutab käesolev määrus endast Schengeni acquis’ sätete edasiarendamist selliselt, et acquis’d kohaldatakse acquis’d rakendavate ametiasutuste poolse isikuandmete töötlemise suhtes Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu (viimaste osalemiseks Schengeni acquis’ sätete rakendamises, kohaldamises ja edasiarendamises)(13) tähenduses.
(137) Šveitsi puhul kujutab käesolev määrus endast Schengeni acquis’ sätete edasiarendamist selliselt, et acquis’d kohaldatakse acquis’d rakendavate ametiasutuste poolse isikuandmete töötlemise suhtes Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahel sõlmitud lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega)(14) tähenduses.
(138) Liechtensteini puhul kujutab käesolev määrus endast Schengeni acquis’ sätete edasiarendamist selliselt, et acquis’d kohaldatakse acquis’d rakendavate ametiasutuste poolse isikuandmete töötlemise suhtes Liechtensteini Vürstiriigi ühinemist (Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega) käsitleva protokolli(15) tähenduses.
(139) Arvestades asjaolu, mida on rõhutanud Euroopa Kohus, et isikuandmete kaitse õigus ei ole absoluutne õigus, vaid seda tuleb arvestada vastavalt selle ülesandele ühiskonnas ja tasakaalustada muude põhiõigustega, siis vastavalt proportsionaalsuse põhimõttele austatakse käesolevas määruses põhiõigusi ja peetakse kinni eelkõige hartaga tunnustatud põhimõtetest, mis on sätestatud aluslepingutes, ning milleks on eelkõige õigus era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, õigus oma isikuandmete kaitsele, mõtte-, südametunnistuse- ja usuvabadus, sõna- ja teabevabadus, ettevõtlusvabadus, õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuuriline, usuline ja keeleline mitmekesisus,
ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:
I PEATÜKK
ÜLDSÄTTED
Artikkel 1
Reguleerimisese ja eesmärgid
1. Käesolevas määruses sätestatakse eeskirjad, mis käsitlevad üksikisikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.
2. Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.
3. Isikuandmete vaba liikumist liidus ei piirata ega keelata põhjustel, mis on seotud üksikisikute kaitsega isikuandmete töötlemisel.
Artikkel 2
Reguleerimisala
1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, olenemata töötlemismeetodist, kui kõnealused isikuandmed kuuluvad toimikusüsteemi või kui need kavatsetakse toimikusüsteemi kanda.
2. Käesolevat määrust ei kohaldata, kui:
a) isikuandmeid töödeldakse muu kui liidu õiguse reguleerimisalasse kuuluva tegevuse käigus, eriti seoses riigi julgeoleku tagamisega;
b) isikuandmeid töötlevad liidu institutsioonid, organid ja asutused;
c) liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub Euroopa Liidu lepingu V jaotise 2. peatüki reguleerimisalasse;
d) isikuandmeid töötleb füüsiline isik üksnes isikliku või koduse tegevuse käigus.ilma tulutoova eesmärgitaSeda erandit kohaldatakse samuti isikuandmete avaldamise suhtes, mille puhul võib mõistlikult eeldada, et nendele juurdepääs piirdub vähesel arvul isikutega;
e) isikuandmeid töötleb pädev avaliku sektori asutus kuritegude ennetamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täideviimiseks.
3. Käesoleva määruse kohaldamine ei piira direktiivi 2000/31/EÜ, eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate eeskirjade kohaldamist. [ME 96]
Artikkel 3
Territoriaalne kohaldamisala
1. Käesolevat määrust kohaldatakse liidu territooriumil paikneva vastutava töötleja ja volitatud töötleja asutuse tegevuse raames toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töötlemine toimub liidus või väljaspool.
2. Käesolevat määrust kohaldatakse liidu territooriumil elavate andmesubjektide isikuandmete töötlemise suhtes mujal kui liidus asuva vastutava töötleja või volitatud töötleja poolt, kui andmete töötlemine on seotud:
a) liidu andmesubjektidele kaupade ja teenuste pakkumisega, sõltumata sellest, kas andmesubjekti makset on vaja, või
b) nendekõnealuste andmesubjektide käitumise jälgimisega.
3. Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, kelle asukoht ei ole liidus, vaid kohas, kus rahvusvahelise avaliku õiguse kohaselt kohaldatakse mõne liikmesriigi õigust. [ME 97]
Artikkel 4
Mõisted
Käesolevas määruses kasutatakse järgmisi mõisteid:
(1) „andmesubjekt” – füüsiline isik, kelle isikusamasus on tuvastatud või otseselt või kaudselt tuvastatav vahenditega, mida vastutav töötleja või mis tahes muu füüsiline või juriidiline isik tavaliselt kasutavad, nagu isikukood, asukohaandmed ja veebiidentifikaator, samuti üks või mitu isiku füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist ja sotsiaalset tunnust;
(2) „isikuandmed” – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti”) kohta; tuvastatav isik on selline isik, kelle isikusamasus on otseselt või kaudselt tuvastatav, näiteks viitega sellisele identifikaatorile nagu nimi, isikukood, asukohaandmed, kordumatu tunnus või üks või mitu isiku füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist ja sotsiaalset tunnust;
(2a) „varjunimega tähistatud andmed” – isikuandmed, mida ei saa seostada andmesubjektiga täiendavat teavet kasutamata, kui niisugust täiendavat teavet hoitakse eraldi ning selle suhtes kohaldatakse tehnilisi ja organisatsioonilisi meetmeid, et tagada selle teabe isikuga seostamatus;
(2b) „krüptitud andmed” – isikuandmed, mis on muudetud tehniliste kaitseabinõudega loetamatuks kõikidele juurdepääsuõiguseta isikutele;
(3) „töötlemine” – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute teostamine, lugemine, kasutamine, üleandmine, levitamine ja muul moel kättesaadavaks tegemine, ühitamine või ühendamine, kustutamine ja hävitamine;
(3a) „profiilianalüüs” – igasugune isikuandmete automatiseeritud töötlemine eesmärgiga hinnata füüsilise isiku teatavaid personaalseid tahke või analüüsida või prognoosida eeskätt selle füüsilise isiku töötulemusi, majanduslikku olukorda, asukohta, tervist, isiklikke eelistusi, käitumist või usaldusväärsust;
(4) „toimikusüsteem” – isikuandmete korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsel või geograafilisel põhimõttel hajutatud;
(5) „vastutav töötleja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid, tingimused ja vahendid; kui töötlemise eesmärgid, tingimused ja vahendid on kindlaks määratud liidu või liikmesriikide õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;
(6) „volitatud töötleja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes töötleb isikuandmeid vastutava töötleja nimel;
(7) „vastuvõtja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kellele andmed avaldatakse;
(7a) „kolmas isik” – füüsiline või juriidiline isik, riigiasutus, esindus või muu organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad andmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;
(8) „andmesubjekti nõusolek” – vabatahtlik, konkreetne, teadlik ja selgelt väljendatud tahteavaldus, millega andmesubjekt kas avalduse vormis või nõusolekut väljendava tegevusega annab nõusoleku töödelda enda kohta käivaid isikuandmeid;
(9) „isikuandmetega seotud rikkumine” – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamiseavalikustamine või juurdepääs neile juurdepääsu;
(10) „geneetilised andmed” – isikuandmed, mis seonduvad isiku pärilike või kujunenud geneetiliste omadustega, kuivõrd need on saadud kõnealuse isiku bioloogilise proovi analüüsist, eelkõige kromosoom-, desoksüribonukleiinhappe (DNA) või ribonukleiinhappe (RNA) analüüsist või mis tahes liiki andmed isiku pärilike ja varajasel sünnieelsel arenguetapil kujunenud omaduste kohta muu elemendi analüüsist, mis võimaldab samaväärse teabe saamist;
(11) „biomeetrilised andmed” – andmedisikuandmed isiku tuvastamist võimaldavate füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, näiteks näokujutis ja sõrmejäljeandmed;
(12) „terviseandmed” – teave isikuandmed, mis käsitlebkäsitlevad isiku füüsilist ja vaimset tervist ning isikule tervishoiuteenuse osutamist;
(13) „peamine tegevuskoht” – kas vastutava töötleja või volitatud töötleja ettevõtte või kontserni selline asukoht liidus, kus tehakse peamised otsused isikuandmete töötlemise eesmärkide ja vahendite kohta. Muu hulgas võib arvesse võtta järgmisi objektiivseid kriteeriumeid: vastutava töötleja või kui otsuseid isikuandmete töötlemise eesmärkide, tingimuste ja vahendite kohta ei tehta liidus, siisvolitatud töötleja peakorteri asukoht; kontserni selle allüksuse asukoht, kes oma juhtimisfunktsioonide ja haldusülesannete tõttu kõige paremini sobib käesolevas määruses sätestatud eeskirjade jõustamisega tegelema; asukoht,liidus, kus vastutav töötleja oma tegevuse käigus peamiselt andmeid töötleb. Volitatud töötleja peamine tegevuskoht on tema juhtkonna asukoht liidus toimub tegelik ja tulemuslik juhtimistegevus, mis määrab stabiilse menetluskorra kaudu andmetöötluse;
(14) „esindaja” – liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja on otseselt nimetanud ja kes tegutseb tema nimel ning kelle poole liidu järelevalveasutused ja muud organid võivad pöördudaesindab vastutavat töötlejat vastutava töötleja poole pöördumise asemel vastutava töötleja käesolevast määrusest tulenevate kohustuste küsimuses.;
(15) „ettevõte” – majandustegevusega tegelev mis tahes üksus olenemata selle õiguslikust vormist, sealhulgas füüsilised ja juriidilised isikud, partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;
(16) „kontsern” – kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;
(17) „siduvad ettevõtluseeskirjad” – liidu liikmesriigis asuva vastutava töötleja ja volitatud töötleja kehtestatud isikuandmete kaitse põhimõtted, millest ta lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus tegutsevale vastutavale või volitatud töötlejale;
(18) „laps” – alla 18aastane isik;
(19) „järelevalveasutus” – liikmesriigis vastavalt artiklile 46 asutatud avaliku sektori asutus. [ME 98]
II PEATÜKK
PÕHIMÕTTED
Artikkel 5
Isikuandmete töötlemise põhimõtted
Isikuandmete töötlemisel tagatakse, et:
a) töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev (seaduslikkus, õiglus ja läbipaistvus);
b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus (eesmärgi piiritlemine);
c) isikuandmed on asjakohased, olulised ja neid on piisavalt, kuid mitte rohkem, kui on minimaalselt vaja töötlemise otstarbe seisukohalt, ning et neid töödeldakse ainult sel juhul ja seni, kuni isikuandmeteta teabe töötlemine ei võimalda saavutada seatud eesmärke (minimaalne andmehulk);
d) isikuandmed on alati täpsed ja ajakohasedvajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohalt ebatäpsed isikuandmed kustutakse või parandatakse viivitamata (täpsus);
e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte otseselt või kaudselt tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib pikemaajaliselt säilitada juhul, kui neid kavatsetakse töödelda üksnes ajaloo- ja statistikauurimuste ning teadustöö või arhiveerimise eesmärgil kooskõlas artiklisartiklites 83 ja 83 a sätestatud eeskirjade ja tingimustega ning kui korrapäraselt hinnatakse nende edasise säilitamise vajalikkust ning kui vajaduse korral on kehtestatud nõuetekohased tehnilised ja organisatsioonilised meetmed, et piirata andmetele juurdepääsu ainult kõnealustel eesmärkidel (minimaalne säilitamine);
ea) isikuandmeid töödeldakse viisil, mis võimaldab andmesubjektil oma õigusi tõhusalt kasutada (tõhusus);
eb) isikuandmeid töödeldakse viisil, mis kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustamise eest, kasutades nõuetekohaseid tehnilisi või organisatsioonilisi meetmeid (terviklus);
f) isikuandmeid töödeldakse vastutava töötleja kohustuste raames ja vastutusel ning vastutav töötleja tagab ja tõendab, et töötlemistoimingud vastavadsuudab tõendada käesolevale määrusele vastavust (vastutus). [ME 99]
Artikkel 6
Töötlemise seaduslikkus
1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:
a) andmesubjekt on andnud selgesõnalise nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;
b) töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;
c) töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;
d) töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks;
e) töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;
f) töötlemine on vajalik vastutava töötleja või avaldamise puhul selle kolmanda isiku, kellele andmed avaldatakse, õigustatud huvi korral, mis vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti, eriti lapse huvid, põhiõigused ja vabadused, mille nimel tuleb kaitsta isikuandmeid. Seda tingimust ei kohaldata, kui andmeid töötleb avaliku sektori asutus oma ülesannete täitmiseks.
2. Isikuandmete töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil on seaduslik, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud.
3. Lõike 1 punktides c ja e osutatud töötlemise alus peab olema ette nähtud:
a) liidu õigusega või
b) vastutava töötleja asukohaliikmesriigi õigusega.
Liikmesriigi õiguses tuleb lähtuda avalikust huvist või teiste isikute õiguste ja vabaduste kaitsmise eesmärgist ning arvestada isikuandmete kaitse õiguse olemust, ja see peab olema proportsionaalne taotletava õiguspärase eesmärgiga. Käesoleva määruse piires võib liikmesriikide õigusega näha ette töötlemise seaduslikkuse üksikasju, eriti vastutava töötleja, töötlemise eesmärgi ja eesmärgi piiritlemise, andmete ja andmesubjektide olemuse, töötlemismenetluste ja -meetodite, saajate ning säilitamise aja osas.
4. Kui isikuandmete edasise töötlemise eesmärk erineb nende kogumise algsest eesmärgist, peab töötlemine põhinema vähemalt ühel lõike 1 punktides a–e osutatud õiguslikul alusel. See kehtib eelkõige lepingu- ja üldtingimuste muutmise suhtes.
5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse lõike 1 punktis f osutatud tingimusi, millest lähtutakse andmete töötlemisel eri sektorites ja andmetöötlusolukordades, sealhulgas lapse isikuandmete töötlemisel. [ME 100]
Artikkel 7
Nõusoleku andmise tingimused
1. Kui töötlemine põhineb nõusolekul, peab vastutav töötleja suutma tõendada, et andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid teatavatel eesmärkidel.
2. Kui andmesubjekt peabannab nõusoleku andma kirjaliku kinnitusena, mis hõlmab ka muid küsimusi, siis tuleb nõusoleku andmise taotlus esitada selgelt muudest küsimustest eraldi. Andmesubjekti nõusolekut käsitlevad sätted, mis osaliselt rikuvad käesolevat määrust, on täielikult kehtetud.
3. Olenemata muudest töötlemise õiguslikest alustest, on andmesubjektil õigus oma nõusolek igal ajal tühistada. Nõusoleku tühistamine ei mõjuta enne tühistamist toimunud töötlemise seaduslikkust. Nõusoleku tagasivõtmine on sama lihtne kui selle andmine. Vastutav töötleja teavitab andmesubjekti, kui nõusoleku tagasivõtmise tagajärjel võib vastutav töötleja teenuste osutamise või suhte lõpetada.
4. Nõusolek ei anna töötlemiseks õiguslikku alust võib olla eesmärgiga piiritletud ning kaotab kehtivuse, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras eesmärk kaob või kui isikuandmete töötlemine ei ole enam vajalik selle eesmärgi täitmiseks, milleks neid algselt koguti. Lepingu täitmine või teenuse osutamine ei tohi sõltuda nõusolekust selliste andmete töötlemiseks või kasutamiseks, mis ei ole vajalikud lepingu täitmiseks või teenuste osutamiseks artikli 6 lõike 1 punkti b kohaselt. [ME 101]
Artikkel 8
Lapse isikuandmete töötlemine
1. Kui käesolevat määrust kohaldatakse infoühiskonnakaupade või teenuste pakkumisel otse lapsele, on kuni 13aastase lapse isikuandmete töötlemine seaduslik ainult sellisel juhul ja sellises ulatuses, kui selleks on andnud nõusoleku või loa lapse vanem või eeskostjaeestkostja. Vastutav töötleja teeb kontrollitava nõusoleku saamisekskontrollimiseks olemasolevat tehnoloogiat arvesse võttes mõistlikke jõupingutusi, põhjustamata isikuandmete muidu ebavajalikku töötlemist.
1a. Lastele, lapsevanematele ja eestkostjatele nõusoleku väljendamiseks antav teave, mis muu hulgas puudutab isikuandmete kogumist ja kasutamist vastutava töötleja poolt, peaks olema esitatud sihtrühmale kohases keelekasutuses.
2. Lõige 1 ei mõjuta liikmesriikide üldist lepinguõigust, näiteks eeskirju, mis käsitlevad lapsega seotud lepingu kehtivust, koostamist ja mõju.
3. Komisjoni volitatakseEuroopa Andmekaitsenõukogule usaldatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada 66 ülesanne avaldada juhiseid, soovitusi ja parimaid tavasid seoses lõikes 1 osutatud kontrollitava nõusoleku saamise meetodite suhtes kohaldatavaid kriteeriume ja nõudeid. Seejuures kaalub komisjon konkreetsete meetmete kehtestamist mikro-, väikeste ja keskmise suurusega ettevõtete jaoks kontrollimise meetoditega.
4. Komisjon võib lõikes 1 osutatud kontrollitava nõusoleku saamise meetodite jaoks kehtestada tüüpvormid. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele. [ME 102]
Artikkel 9
Isikuandmete eriliikide töötlemine eriliigid
1. Keelatud on töödelda isikuandmeid, mis kajastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religiooni ja usku ningfilosoofilisi veendumusi, seksuaalset sättumust või soolist identiteeti, ametiühingusse kuulumist ja sellealast tegevust, samuti geneetilisi või biomeetrilisi andmeid,või andmeid tervise, seksuaalelu ninghalduskaristuste, kohtuotsuste, kuritegude või kahtlustatavate süütegude, süüdimõistvate kohtuotsuste ja nendega seotud turvameetmete kohta.
2. Lõiget 1 ei kohaldata, kui järgmistel juhtudel:
a) andmesubjekt on artiklites 7 ja 8 sätestatud tingimustel andnud nõusoleku neid isikuandmeid töödelda ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada, või
aa) töötlemine on vajalik sellise lepingu täitmiseks, mille osapool andmesubjekt on, või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;
b) töötlemine on vajalik seoses vastutava töötleja tööõigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega või kollektiivlepingutega, milles on sätestatud piisavad kaitsemeetmed andmesubjekti põhiõiguste ja huvide jaoks, näiteks õigus mittediskrimineerimisele, vastavalt artiklis 82 osutatud tingimustele ja kaitsemeetmetele, või
c) töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma, või
d) töötlemine toimub poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusühingu õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning kui töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning tingimusel et andmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta, või
e) töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud, või
f) töötlemine on vajalik õigusnõuete koostamiseks, esitamiseks ja kaitsmiseks või
g) töötlemine on vajalik sellise suure avaliku huviga seotud ülesande täitmiseks, mis on ettenähtud liidu või liikmesriigi õiguses, mis on proportsionaalne saavutatava eesmärgiga, mis austab isikuandmete kaitse õiguse olemust ning milles on sätestatud asjakohased kaitsemeetmed andmesubjekti õigustatud huvipõhiõiguste ja huvide kaitsmiseks, või
h) tervislikku seisundit käsitlevate andmete töötlemine on vajalik tervise kaitseks, kui artiklis 81 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või
i) töötlemine on vajalik ajaloo- ja statistikauurimuste ning teadustöö eesmärgil, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või
ia) töötlemine on vajalik arhiivide jaoks, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või
j) halduskaristusi, kohtuotsuseid, kuritegusid, süüdimõistvaid kohtuotsuseid ja nendega seotud turvameetmeid käsitlevaid andmeid töödeldakse ametiasutuse järelevalve all või kui töötlemine on vajalik vastutava töötleja suhtes kohaldatavatest õigusaktidest tuleneva kohustuse või olulise avalike huvidega seotud ülesande täitmiseks niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega, milles on sätestatud piisavad kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitsmiseks. Süüdimõistvate kohtuotsuste täielikku registrit võib pidada ainult ametiasutuse järelevalve all.
3. Komisjoni volitatakseEuroopa Andmekaitsenõukogule usaldatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, milles täpsustatakse66 ülesanne avaldada juhiseid, soovitusi ja parimaid tavasid seoses lõikes 1 osutatud isikuandmete eriliikide töötlemise kriteeriume, tingimusi ja kaitsemeetmeid ning lõikes 2 osutatud erandeid töötlemisega. [ME 103]
Artikkel 10
Töötlemine, mille käigus ei saa isikut tuvastada
1. Juhul kui vastutav töötleja või volitatud töötleja töötleb selliseid andmeid, mille alusel ei saa füüsilist isikut otseselt või kaudselt tuvastada või mis hõlmavad ainult varjunimega tähistatud andmeid, ei ole ta kohustatud hankimatohi ta töödelda ega hankida lisateavet ainult käesoleva määruse täitmiseks.
2. Kui vastutav töötleja ei suuda käesoleva määruse sätteid täita lõike 1 tõttu, ei ole ta kohustatud kõnealust käesoleva määruse sätet täitma. Kui eelneva tagajärjel ei saa vastutav töötleja andmesubjekti taotlust täita, teatab ta sellest andmesubjektile. [ME 104]
Artikkel 10a
Andmesubjekti õiguste üldpõhimõtted
1. Andmekaitse aluseks on andmesubjekti selged ja ühemõttelised õigused, mida vastutav töötleja peab austama. Käesoleva määruse eesmärk on neid õigusi tugevdada, täpsustada, tagada ja vajaduse korral kodifitseerida.
2. Niisugused õigused hõlmavad muu hulgas selge ja kergesti mõistetava teabe andmist andmesubjekti isikuandmete töötlemise kohta, õigust oma isikuandmetega tutvumisele, nende parandamisele ja kustutamisele, õigust profiilianalüüsi vaidlustamisele, õigust esitada kaebus pädevale andmekaitseasutusele ning algatada kohtumenetlus, samuti õigust hüvitisele ja ebaseaduslikust töötlemistoimingust tuleneva kahju hüvitamisele. Selliseid õigusi peaks üldiselt saama kasutada tasuta. Vastutav töötleja vastab andmesubjekti taotlustele mõistliku ajavahemiku jooksul. [ME 105]
III PEATÜKK
ANDMESUBJEKTI ÕIGUSED
1.JAGU
LÄBIPAISTVUS JA SELLEGA SEOTUD ÜKSIKASJALIKUD EESKIRJAD
Artikkel 11
Läbipaistev teave ja teabevahetus
1. Vastutav töötleja kehtestab täpsed, läbipaistvad ja selged isikuandmete töötlemise ja andmesubjektide õiguste kaitsmise põhimõtted ja teeb need lihtsalt kättesaadavaks.
2. Vastutav töötleja esitab andmesubjektile kogu teabe isikuandmete töötlemise ja sellega seotud teabevahetuse kohta, tehes seda arusaadavas vormis ning andmesubjektile kohandatud selges ja lihtsas keeles, eelkõige kui teave esitatakse lapsele. [ME 106]
Artikkel 12
Andmesubjekti õiguste kasutamise kord ja mehhanismid
1. Vastutav töötleja kehtestab artiklis 14 osutatud teabe esitamise ning artiklites 13 ja 15–19 nimetatud andmesubjekti õiguste kasutamise korra. Ta sätestab eelkõige mehhanismid, mille kohaselt lihtsustatakse artiklites 13 ja 15–19 osutatud toimingute tegemise taotluse esitamist. Isikuandmete automatiseeritud töötlemisel teeb vastutav töötleja võimaluse korral kättesaadavaks vahendid, millega taotluse saab esitada elektrooniliselt.
2. Vastutav töötleja teavitab andmesubjekti viivitamata põhjendamatu viivituseta, kuid mitte hiljem kui ühe kuu40 kalendripäeva jooksul pärast taotluse kättesaamist, artiklites 13 ja 15–19 sätestatud toimingute tegemisest ja esitab nõutud teabe. Seda tähtaega võib pikendada ühe kuu võrra, kui oma õigust kasutavad mitu andmesubjekti ja mõistlikus ulatuses on vajalik nendepoolne koostöö, et vältida vastutava töötleja jaoks ebavajalikke ja ebaproportsionaalseid jõupingutusi. Kõnealune teave esitatakse kirjalikult ja võimaluse korral võib vastutav töötleja anda kaugjuurdepääsu turvalisele süsteemile, kus andmesubjekt saab otse tutvuda oma isikuandmetega. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave võimaluse korral elektrooniliselt, kui andmesubjekt ei taotle teisiti.
3. Kui vastutav töötleja otsustabei tee andmesubjekti taotletud toimingut mitte teha, teatab ta andmesubjektile keeldumisetegevusetuse põhjused ning selgitab talle võimalusi esitada järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid.
4. Lõikes 1 osutatud taotluse alusel antud teabe ja tehtud toimingute eest tasu ei võeta. Kui taotlused on selgelt põhjendamatud, sest neid esitatakse korduvalt, võib vastutav töötleja võtta taotletud teabe andmise ja toimingute tegemise eest mõistlikku tasu või jätta toimingud tegemata, võttes arvesse halduskulusid. Sel juhul lasub vastutaval töötlejal kohustus tõendada, et taotlus on selgelt põhjendamatu.
5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, milles täpsustatakse lõikes 4 osutatud taotluse selgelt põhjendamatuks tunnistamise kriteeriumid ja tingimused ning tasu suurus.
6. Komisjon võib kehtestada lõikes 2 osutatud teavitamise, sealhulgas elektroonilise teavitamise tüüpvormid ja -korra. Seejuures võtab komisjon asjakohased meetmed mikro-, väikeste ja keskmise suurusega ettevõtete suhtes. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele. [ME 107]
Artikkel 13
Õigused vastuvõtjate ees Teavituskohustus parandamise ja kustutamise korral
Vastutav töötleja edastab teabe andmete parandamise ja kustutamise kohta vastavalt artiklitele 16 ja 17 kõigile vastuvõtjatele, kellele andmed on avaldatud edastatud, välja arvatud juhul, kui see on võimatu või kui see nõuab ülemääraseid jõupingutusi. Vastutav töötleja teavitab andmesubjekti nendest vastuvõtjatest andmesubjekti taotlusel. [ME 108]
Artikkel 13a
Standardiseeritud teabepoliitika
1. Kui kogutakse andmesubjektiga seotud isikuandmeid, esitab vastutav töötleja andmesubjektile enne artikli 14 kohaselt teabe esitamist järgnevad üksikasjad:
a) kas töötlemise iga erieesmärgi saavutamiseks kogutakse isikuandmeid minimaalsest vajalikust hulgast rohkem;
b) kas töötlemise iga erieesmärgi saavutamiseks säilitatakse isikuandmeid minimaalsest vajalikust ajavahemikust kauem;
c) kas isikuandmeid töödeldakse muudel eesmärkidel kui need eesmärgid, milleks neid koguti;
d) kas isikuandmeid levitatakse äritegevusega seotud kolmandatele isikutele;
e) kas isikuandmeid müüakse või renditakse välja;
f) kas isikuandmeid säilitatakse krüptitud vormingus.
2. Lõikes 1 osutatud üksikasju kujutatakse käesoleva resolutsiooni lisa kohaselt ühitatud tabelis, kasutades teksti ja sümboleid, järgnevas kolmes veerus:
a) esimeses veerus on graafilised kujutised, mis neid üksikasju sümboliseerivad;
b) teine veerg sisaldab olulist teavet, mis kirjeldab neid üksikasju;
c) kolmas veerg kujutab graafilisi sümboleid, mis näitavad, kas teatud tingimus on saavutatud.
3. Lõigetes 1 ja 2 osutatud teavet kujutatakse selgelt nähtaval ja loetaval viisil ning seda esitatakse keeles, mida mõistavad hästi liikmesriigi tarbijad, kellele teavet pakutakse. Kui üksikasju esitatakse elektrooniliselt, on need masinloetavad.
4. Täiendavaid üksikasju ei esitata. Lõikes 1 osutatud üksikasju puudutavaid üksikasjalikke selgitusi või täiendavaid märkusi võib artikli 14 kohaselt pakkuda koos muude teabenõuetega.
5. Komisjoni volitatakse vastavalt artiklile 86 võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist vastu delegeeritud õigusakte, millega täpsustatakse lõikes 1 osutatud üksikasju ja nende kujutamist, millele osutatakse lõikes 2 ja käesoleva resolutsiooni lisas. [ME 109]
2.JAGU
TEAVITAMINE JA ANDMETELE JUURDEPÄÄS
Artikkel 14
Andmesubjekti teavitamine
1. Andmesubjektile, kelle isikuandmeid kogutakse, teeb vastutav töötleja pärast artikli 13a kohaste üksikasjade esitamist teatavaks vähemalt järgmise:
a) vastutava töötleja ning vajaduse korral töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;
b) töötlemise eesmärk, mille jaoks isikuandmeid kasutatakse, ja teave isikuandmete töötlemise turvalisuse kohta, sealhulgas lepingu- ja üldtingimused, kui töötlemine põhineb artikli 6 lõike 1 punktil b, ning vastutava töötleja õigustatud huvi, kui töötlemine põhineb vajaduse korral teave selle kohta, kuidas rakendatakse artikli 6 lõike 1 punktilpunktis f osutatud nõudeid ja neid järgitakse;
c) isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, sellise tähtaja määramise kriteeriumid;
d) andmesubjekti õigus taotleda vastutavalt töötlejalt juurdepääsu oma isikuandmetele ning nende parandamist või kustutamist,ning vaidlustada oma isikuandmete töötlemist või andmeid saada;
e) andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;
f) isikuandmete vastuvõtjad või vastuvõtjate liigid;
g) vajaduse korral selle, et vastutav töötleja kavatseb edastada isikuandmedandmed kolmandasse riiki või rahvusvahelisele organisatsioonile, ning isikuandmete kaitse taseme kolmandas riigis või rahvusvahelises organisatsioonis, osutades piisavat kaitset käsitlevalekäsitleva komisjoni otsusele otsuse olemasolu või puudumise, või artiklites 42 või 43 osutatud edastamise korral viite asjakohastele kaitsemeetmetele ja nende koopia saamise viisile;
ga) vajaduse korral teave profiilianalüüsi olemasolu, profiilianalüüsil põhinevate meetmete ja profiilianalüüsi kavandatava mõju kohta andmesubjektile;
gb) oluline teave igasuguses automatiseeritud töötlemises aluseks oleva loogika kohta;
h) muu teave, mis on vajalik andmesubjekti õigusi arvestava andmetöötluse tagamiseks, võttes arvesse isikuandmete kogumise või töötlemise konkreetset olukorda, eelkõige teatavate töötlemistoimingute olemasolu, mis võivad isikuandmete mõju hinnangu kohaselt olla suure riskiga;
ha) vajaduse korral teave selle kohta, kas isikuandmeid anti viimase järjestikuse 12kuulise ajavahemiku jooksul avaliku sektori asutustele.
2a. Otsustamaks, millist täpsustavat teavet on vaja, et töötlemine oleks lõike 1 punkti h kohaselt õiglane, järgivad vastutavad töötlejad artiklis 34 sätestatud asjakohaseid juhiseid.
2. Juhul kui isikuandmed kogutakse andmesubjektilt, teatab vastutav töötleja talle lisaks lõikes 1 osutatud teabele, kas isikuandmete esitamine on kohustuslik või vabatahtlik, ning andmete esitamata jätmise võimalikud tagajärjed.
3. Juhul kui isikuandmed ei ole kogutud andmesubjektilt, teeb vastutav töötleja andmesubjektile lisaks lõikes 1 osutatud teabele teatavaks ka konkreetse isikuandmete allika. Kui isikuandmed on pärit avalikult kättesaadavatest allikatest, võib esitada üldist teavet.
4. Vastutav töötleja esitab lõigetes 1, 2 ja 3 osutatud teabe:
a) andmesubjektilt andmete saamise ajal või, kui eelnev ei ole teostatav, põhjendamatu viivituseta või
aa) artiklis 73 osutatud asutuse, organisatsiooni või ühenduse taotlusel;
b) kui isikuandmed ei ole kogutud andmesubjektilt, siis andmete salvestamise ajal või mõistliku aja jooksul pärast nende kogumist, võttes arvesse andmete kogumise või muul viisil töötlemise konkreetset olukorda ning seda, kas andmeid kavatsetakse avaldadaedastada mõnele teisele vastuvõtjale, kuid hiljemalt andmete esmakordse avalikustamiseedastamise ajal või kui andmeid kasutatakse teabevahetuseks asjaomase andmesubjektiga, hiljemalt esimese teabevahetuse ajaks selle andmesubjektiga, või
ba) ainult taotluse korral, kui andmeid töötleb selline väike- või mikroettevõte, kes töötleb isikuandmeid üksnes kõrvaltegevusena.
5. Lõikeid 1–4 ei kohaldata, kui
a) andmesubjekt on juba saanud lõigetes 1, 2 ja 3 osutatud teabe või
b) andmeid töödeldakse ajaloo- või statistikauurimuste või teadustöö eesmärgil, mille suhtes kohaldatakse artiklis 81 ja 83 osutatud tingimusi ja kaitsemeetmeid, andmed ei ole kogutud andmesubjektilt ja sellise teabe esitamine on võimatu või nõuab ülemääraseid jõupingutusi ning vastutav töötleja on avaldanud teabe, mis on kõigile kättesaadav või
c) andmed ei ole kogutud andmesubjektilt ja selliste andmete salvestamine või avalikustamine on õigusaktides selgelt sätestatud vastutava töötleja suhtes kohaldatavates õigusaktides, millega nähakse ette asjakohased meetmed andmesubjekti õiguspäraste huvide kaitsmiseks, arvestades töötlemisega seotud riske ja isikuandmete iseloomu, või
d) andmed ei ole kogutud andmesubjektilt ja sellise teabe esitamine kahjustaks vastavalt artiklile 21 liidu õiguses ja liikmesriikide õiguses sätestatud teiste füüsiliste isikute õigusi ja vabadusi.
da) andmeid töötleb isik või nad usaldatakse või saavad teatavaks isikule, kellel on liidu või liikmesriigi õigusega reguleeritav ametisaladuse hoidmise kohustus või õigusaktidega sätestatud saladuse hoidmise kohustus, välja arvatud juhul, kui andmeid kogutakse andmesubjektilt endalt.
6. Lõike 5 punktis b osutatud juhul näeb vastutav töötleja ette meetmed andmesubjekti õiguste või õigustatud huvi kaitsmiseks.
7. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, milles täpsustatakse lõike 1 punktis f osutatud vastuvõtjate liigitamise kriteeriumid, lõike 1 punktis g osutatud juurdepääsuvõimalusest teavitamise nõuded, lõike 1 punktis h osutatud täiendava teabe esitamise vajaduse kindlaksmääramise kriteeriumid sektorite ja olukordade kaupa ning kaitsemeetmed lõike 5 punktis b sätestatud erandite puhuks. Seejuures võtab komisjon asjakohased meetmed mikro-, väikeste ja keskmise suurusega ettevõtete suhtes.
8. Komisjon võib kehtestada tüüpvormid lõigetes 1–3 osutatud teabe esitamiseks, võttes vajaduse korral arvesse eri sektorite omadusi ja vajadusi ning isikuandmete töötlemise olukordi. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele. [ME 110]
Artikkel 15
Andmesubjekti õigus tutvuda andmetega ja andmeid saada
1. Kooskõlas artikli 12 lõikega 4 on andmesubjektil õigus igal ajal saada vastutavalt töötlejalt taotluse alusel kinnitus selle kohta, kas tema isikuandmeid töödeldakse või mitte. Juhul kui andmesubjekti isikuandmeid töödeldakse, esitab vastutav töötleja talle järgmise teabening selges ja lihtsas keeles järgmist teavet:
a) töötlemise eesmärk,iga isikuandmete liigi puhul;
b) töödeldavate isikuandmete liigid;
c) millistele või mis liiki vastuvõtjatele isikuandmeid avalikustatakse või on avalikustatud, eelkõige sealhulgas teave kolmandates riikides olevate vastuvõtjate kohta;
d) isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, sellise tähtaja määramise kriteeriumid;
e) andmesubjekti õigus taotleda vastutavalt töötlejalt oma isikuandmete parandamist või kustutamist, ning vaidlustada oma isikuandmete töötlemine;
f) andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;
g) teave töödeldavate isikuandmete kohta ja olemasoleva teave andmete allika kohta;
h) vähemalt artiklis 20 osutatud meetmete puhul töötlemise tähtsus ja ettenähtavad tagajärjed.
ha) oluline teave igasuguses automatiseeritud töötlemises aluseks oleva loogika kohta;
hb) kui avaliku sektori asutusele avaldatakse isikuandmeid avaliku sektori asutuse taotluse tagajärjel, kinnitus asjaolu kohta, et selline taotlus on esitatud, ilma et see piiraks artikli 21 kohaldamist.
2. Andmesubjektil on õigus saada vastutavalt töötlejalt teada, milliseid isikuandmeid töödeldakse. Kui andmesubjekt esitab taotluse elektrooniliselt ja struktureeritud vormingus, esitatakse ka teave elektrooniliselt, kui andmesubjekt ei taotle teisiti. Ilma et see piiraks artikli 10 kohaldamist, võtab vastutav töötleja kõik mõistlikud meetmed, et kontrollida, kas andmetega tutvumist taotlev isik on andmesubjekt.
2a. Kui andmesubjekt on andnud isikuandmeid nende elektroonilise töötlemise korral, on tal õigus saada vastutavalt töötlejalt esitatud isikuandmete elektrooniline koostalitlusvõimelises üldkasutatavas vormingus koopia, mis võimaldab andmesubjektil seda kasutada, ilma et seda takistaks vastutav töötleja, kellelt isikuandmed on võetud. Isikuandmeid edastatakse ühelt vastutavalt töötlejalt otse teisele vastutavale töötlejale andmesubjekti taotlusel, kui see on tehniliselt teostatav ja andmed on kättesaadavad.
2b. Käesolev artikkel ei piira artikli 5 esimese lõigu punktile e vastavat kohustust kustutada andmed, kui need ei ole enam vajalikud.
2c. Andmetega tutvumise õigus vastavalt lõigetele 1 ja 2 puudub, kui on tegemist artikli 14 lõike 5 punkti da kohaste andmetega, välja arvatud juhul, kui andmesubjektil on volitus tühistada kõnealune saladuse kaitseks kehtestatud piirang ning kui ta selle kohaselt ka tegutseb.
3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada kriteeriume ja nõudeid, millest lähtutakse lõike 1 punktis g osutatud isikuandmete sisu teatamisel andmesubjektile.
4. Komisjon võib kehtestada tüüpvormid ja -korra lõikes 1 osutatud teabele juurdepääsu taotlemiseks ja võimaldamiseks, sealhulgas edastatavate isikuandmete subjekti tuvastamiseks, võttes arvesse eri sektorite omadusi ja vajadusi ning isikuandmete töötlemise olukordi. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.[ME 111]
3.JAGU
PARANDAMINE JA KUSTUTAMINE
Artikkel 16
Õigus andmeid parandada
Andmesubjektil on õigus vastutavalt töötlejalt taotleda ebatäpsete isikuandmete parandamist. Andmesubjektil on õigus taotleda mittetäielike isikuandmete täiendamist, sealhulgas parandusandmetega õiendi esitamise teel.
Artikkel 17
Õigus olla unustatud jaõigus andmete kustutamisele
2. Andmesubjektil on õigus nõuda vastutavalt töötlejalt enda isikuandmete kustutamist ning levitamisest hoidumist, eriti kui tegemist on isikuandmetega, mille andmesubjekt tegi teatavaks lapsena, ning saavutada niisugustele andmetele osutavate linkide ning andmekoopiate ja -korduste kustutamine kolmandate isikute poolt järgmistel põhjustel:
a) andmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;
b) andmesubjekt tühistab töötlemiseks antud nõusoleku vastavalt artikli 6 lõike 1 punktile a või kui nõusolekukohane andmete talletamise tähtaeg lõppenud ning puudub muu õiguslik alus andmete töötlemiseks;
c) andmesubjekt vaidlustab isikuandmete töötlemise artikli 19 kohaselt;
ca) Euroopa Liidus asuva kohtu või reguleeriva asutuse lõpliku otsuse kohaselt tuleb asjaomased andmed kustutada;
d) andmete töötlemine ei vasta käesolevale määrusele muudel põhjustelandmeid on töödeldud ebaseaduslikult.
1a. Lõike 1 kohaldamine sõltub vastutava töötleja suutlikkusest kontrollida, kas andmete kustutamist taotlev isik on andmesubjekt.
2. Juhul kui lõikes 1 osutatud vastutav töötleja on isikuandmed avalikustanud, peab ta enda avaldatud andmete suhtes võtma tarvitusele ilma artikli 6 lõikel 1 põhineva põhjenduseta, võtab ta kõik mõistlikud abinõud,meetmed andmete kustutamiseks, sealhulgas tehnilised meetmed, kolmandate isikute poolt, ilma et teavitada kõnealuseid andmeid töötlevaid kolmandaid isikuid sellest, et andmesubjekt taotleb neilt kõnealustele andmetele osutavate linkide ning andmekoopiate ja -korduste kustutamist.Kuisee piiraks artikli 77 kohaldamist. Vastutav töötleja on andnud kolmandale isikule loa isikuandmeid avaldada, vastutab avalikustamise eest vastutavat töötleja teavitab võimaluse korral andmesubjekti asjaomaste kolmandate isikute võetud meetmetest.
3. Vastutav töötleja ning vajaduse korral kolmas isik peab isikuandmed viivitamatult kustutama, välja arvatud sellised andmed, mida tuleb säilitada:
a) sõnavabaduse õiguse teostamiseks vastavalt artiklile 80;
b) avaliku huvi kaitsmiseks tervishoiu valdkonnas vastavalt artiklile 81;
c) ajaloo- ja statistikauurimuste ning teadustöö jaoks vastavalt artiklile 83;
d) vastavalt liidu või liikmesriigi õigusest tulenevale vastutava töötleja kohustusele säilitada isikuandmeid, liikmesriigi õigusaktid peavad lähtuma avaliku huvi kaitsmise eesmärgist, isikuandmete kaitse õiguse sisu austamisest, ning olema proportsionaalsed taotletava õiguspärase eesmärgiga;
e) lõikes 4 osutatud juhtudel.
4. Vastutav töötleja piirab isikuandmete töötlemist nende kustutamise asemel sellisel viisil, et vastutav töötleja ei saa tavapärasel viisil nendega tutvuda, teha nendega töötlemistoiminguid ega neid enam muuta, kui:
a) andmesubjekt seab kahtluse alla nende täpsuse; täpsemalt piiratakse siis andmete töötlemine nii kauaks, kuni vastutav töötleja on kontrollinud nende täpsust;
b) vastutav töötleja ei vaja enam isikuandmeid oma ülesande täitmiseks, kuid andmeid tuleb säilitada tõendamise eesmärgil;
c) töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle nende kustutamist, vaid nende kasutamise piiramist;
ca) Euroopa Liidus asuva kohtu või reguleeriva asutuse lõpliku otsuse kohaselt tuleb asjaomaste andmete töötlemist piirata;
d) andmesubjekt taotleb oma isikuandmete edastamist teise automatiseeritud töötlemise süsteemi vastavalt artikli 1815 lõikele 2.a;
da) konkreetne säilitamistehnoloogia ei võimalda kustutamist ja oli installeeritud enne käesoleva määruse jõustumist.
5. Lõikes 4 osutatud isikuandmete töötlemine, välja arvatud säilitamine, on lubatud ainult tõendamise eesmärgil, andmesubjekti nõusolekul ja teise füüsilise või juriidilise isiku õiguste või avaliku huvi kaitsmiseks.
6. Juhul kui isikuandmete töötlemine on lõike 4 kohaselt piiratud, teavitab vastutav töötleja andmesubjekti enne töötlemise piirangute kõrvaldamist.
7. Vastutav töötleja rakendab mehhanismid, millega tagatakse isikuandmete kustutamise ja/või säilitusvajaduse korrapärase läbivaatamise tähtajast kinnipidamine.
8. Juhul kui isikuandmed kustutatakse, ei töötle vastutav töötleja neid muul viisil.
8a. Vastutav töötleja rakendab mehhanismid, millega tagatakse isikuandmete kustutamise ja/või säilitusvajaduse korrapärase läbivaatamise tähtajast kinnipidamine.
9. Komisjoni volitatakse vastavalt artiklile 86 võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist vastu delegeeritud õigusakte, millega täpsustatakse:
a) kriteeriume ja tingimusi, millest lähtutakse lõike 1 kohaldamisel eri sektorites ja andmetöötlusolukordades;
b) lõikes 2 osutatud üldkasutatavate kommunikatsiooniteenuste käsutuses olevatele isuandmetele osutavate linkide ning andmekoopiate ja -korduste kustutamise tingimused;
c) lõikes 4 osutatud isikuandmete töötlemise piiramise tingimused. [ME 112]
Artikkel 18
Isikuandmete ülekantavus
1. Struktureeritud ja üldkasutatavas vormingus olevate isikuandmete elektroonilise töötlemise korral on andmesubjektil õigus saada vastutavalt töötlejalt töödeldavate andmete elektrooniline struktureeritud ja üldkasutatavas vormingus koopia, mida andmesubjekt saab omakorda kasutada.
2. Kui andmesubjekt on andnud oma isikuandmed ja neid töödeldakse nõusoleku või lepingu alusel, on tal õigus neid isikuandmeid ning mis tahes muud tema esitatud ja automatiseeritud andmetöötlussüsteemis üldkasutatavas elektroonilises vormingus säilitatavat teavet edastada teise sellisesse süsteemi, ilma et seda takistaks vastutav töötleja, kelle süsteemist andmed pärinevad.
3. Komisjon võib kindlaks määrata lõikes 1 osutatud elektroonilise vormingu ning isikuandmete lõike 2 kohase edastamise tehnilised standardid ja korra. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele. [ME 113]
4.JAGU
VAIDLUSTAMISÕIGUS JA PROFIILIANALÜÜS
Artikkel 19
Vaidlustamisõigus
1. Andmesubjektil on õigus igal ajal konkreetsest olukorrast lähtudes vaidlustada isikuandmete töötlemine artikli 6 lõike 1 punktide d,ja e ja f alusel, välja arvatud juhul, kui vastutav töötleja tõendab, et töötlemine toimub täiesti õiguspärasel alusel, mis kaalub üles andmesubjekti huvid ning põhiõigused ja vabadused.
2. Kui isikuandmete töötlemisel otseturunduse eesmärgiltöötlemise aluseks on artikli 6 lõike 1 punkt f, on andmesubjektil õigus igal ajal ja täiendava põhjenduseta tasuta vaidlustada oma isikuandmete töötlemine nimetatudüldiselt või mis tahes konkreetsel eesmärgil. Kõnealune õigus antakse andmesubjektile arusaadaval viisil ja muust teabest selgelt eraldi.
2a. Lõikes 2 osutatud õigus antakse andmesubjektile arusaadaval viisil ja arusaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele antava teabe puhul, ja muust teabest selgelt eraldi.
2b. Infoühiskonna teenuste kasutamise kontekstis ja olenemata direktiivi 2002/58/EÜ sätetest võib vaidlustamisõigust kasutada automatiseeritult, kasutades tehnilist standardit, mis võimaldab andmesubjektil oma soove selgelt väljendada.
3. Kui vaidlustamine on põhjendatud vastavalt lõigetele 1 ja 2, ei tohi vastutav töötleja selliseid isikuandmeid enam kasutada ega muul viisil töödelda vaidlustamises esitatud eesmärgil. [ME 114]
Artikkel 20
Profiilianalüüsil põhinevad meetmed Profiilianalüüs
1. Ilma et see piiraks artikli 6 sätete kohaldamist, on füüsilisel isikul õigus vältida tema suhtes õiguslike tagajärgedega või teda märkimisväärselt mõjutavat meedet, mis põhineb üksnes automaatsel töötlemisel, millega hinnatakse füüsilise isiku teatavaid isiklikke aspekte või analüüsitakse või prognoositakse tema tööpanust, majanduslikku olukorda, asukohta, tervist, eelistusi, usaldusväärsust ja käitumistvaidlustada profiilianalüüs kooskõlas artikliga 19. Andmesubjekte teavitatakse õigusest profiilianalüüs vaidlustada väga hästi nähtaval viisil.
2. Vastavalt käesoleva määruse teistele sätetele võib isiku suhtes võtta lõikes 1 osutatud meetmena käsitatavat meedetteostada profiilianalüüsi, mis viib andmesubjekti puudutavaid õiguslikke tagajärgi põhjustavate meetmeteni või mõjutab oluliselt asjaomase andmesubjekti huvisid, õigusi või vabadusi, ainult juhul, kui töötlemine:
a) toimubon vajalik lepingu sõlmimise või täitmise ajalsõlmimiseks või täitmiseks pärast seda, kui on rahuldatud andmesubjekti taotlus leping sõlmida või asuda seda täitma, tingimusel etvõi kui andmesubjekti õigustatud huvi kaitsmiseks on võetud asjakohased meetmed, näiteks tänu õigusele otsesele isiklikule kontaktile, või
b) on selgesõnaliselt lubatud liidu või liikmesriigi õigusega, milles on sätestatud ka meetmed andmesubjekti õigustatud huvi kaitsmiseks, või
c) põhineb andmesubjekti nõusolekul, kui on täidetud artiklis 7 sätestatud tingimused ja võetud sobivad kaitsemeetmed.
3. Isikuandmete automaatne töötlemine füüsilise isiku isiklike aspektide hindamiseks Profiilianalüüs, mille tulemusena diskrimineeritakse isikuid nende rassi, etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, seksuaalse sättumuse või soolise identiteedi alusel või mille tulemuseks on meetmed, millega saavutatakse eespool kirjeldatud tagajärjed, keelustatakse. Vastutav töötleja rakendab tõhusat kaitset võimaliku profiilianalüüsist tuleneva diskrimineerimise eest. Profiilianalüüs ei põhine ainult artiklis 9 osutatud isikuandmete eriliikidel.
4. Lõikes 2 osutatud juhtudel esitab vastutav töötleja artikli 14 kohase teavitamise korral teabe selle kohta, kas töötlemine toimub lõikes 1 osutatud eesmärgil ning millist mõju võib selline töötlemine avaldada andmesubjektile.
5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakseSelline profiilianalüüs, mis viib andmesubjekti puudutavaid õiguslikke tagajärgi põhjustavate meetmeteni või mõjutab oluliselt asjaomase andmesubjekti huvisid, õigusi või vabadusi, ei põhine üksnes või enamjaolt automatiseeritud töötlemisel ning peab hõlmama otsest isiklikku kontakti, sealhulgas pärast isiklikku kontakti tehtud otsuse selgitust. Andmesubjekti lõikes 2 osutatud õigustatud huvi kaitsmiseks sobivate meetmete võtmise kriteeriumid ja tingimused sobivad meetmed hõlmavad õigust isiklikule kontaktile ning õigust pärast isiklikku kontakti tehtud otsuse selgitusele.
5a. Euroopa Andmekaitsenõukogule usaldatakse artikli 66 lõike 1 punkti b kohaste suuniste, soovituste ja parimate tavade avaldamine, et täpsustada lõikel 2 põhineva profiilianalüüsi kriteeriume ja nõudeid. [ME 115]
5.JAGU
PIIRANGUD
Artikkel 21
Piirangud
1. Liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artikli 5 punktides a–e, artiklites 11–20 11–19 ja artiklis 32 sätestatud kohustuste ja õiguste ulatust, kui selline piirang vastab selgelt määratletud avaliku huvi eesmärgile, austab õigust isikuandmete kaitsele, on proportsionaalne taotletava õiguspärase eesmärgiga ning austab andmesubjekti põhiõigusi ja huve ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada:
a) avalik julgeolek,
b) kuritegude ennetamine, uurimine, avastamine ja kuritegude eest vastutuselevõtmine;
c) liidu ja liikmesriigi muude avalike huvide kaitsmine, eelkõige liidu ja liikmesriigi olulised majanduslikud ja finantshuvid, sealhulgas rahandus-, eelarve- ja maksuküsimused ning turu stabiilsuse ja tervikluse kaitse;
d) reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutuselevõtmine;
e) jälgimine, kontrollimine ja regulatiivsete ülesannete täitmine, mis on kas või ajutiselt seotud pädeva avaliku võimu teostamisegasektori asutuse tegevuse raames punktides a, b, c ja d osutatud juhtudel;
f) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse.
2. Lõikes 1 osutatud seadusandliku meetmegaseadusandlikud meetmed peavad olema demokraatlikus ühiskonnas vajalikud ja proportsionaalsed ning nendega sätestatakse vähemalt töötlemise eesmärgid ja vastutava töötleja kindlaksmääramise viis.
a) töötlemise eesmärgid;
b) vastutava töötleja kindlaksmääramise viis;
c) töötlemise konkreetsed eesmärgid ja vahendid;
d) kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist vältivad kaitsemeetmed;
e) andmesubjektide õigus olla piirangutest teavitatud.
2a. Lõikes 1 osutatud seadusandlikud meetmed ei tohi lubada eraõiguslikel töötlejail hoida andmeid peale nende, mis on algse eesmärgi jaoks rangelt vajalikud, ega neid selleks kohustada. [ME 116]
IV PEATÜKK
VASTUTAV TÖÖTLEJA JA VOLITATUD TÖÖTLEJA
1.JAGU
ÜLDKOHUSTUSED
Artikkel 22
Vastutava töötleja ülesanded ja vastutus
1. Vastutav töötleja võtab vastu asjakohased põhimõtted ning rakendab asjakohaseid ja rakendabtõendatavaid tehnilisi ja organisatsioonilisi meetmeid, mis võimaldavad tagada ja läbipaistvalt tõendada, et isikuandmete töötlemine on käesoleva määrusega kooskõlas, võttes arvesse tehnika arengut, töödeldavate isikuandmete olemust, töötlemise konteksti, ulatust ja eesmärke, andmesubjektide õiguste ja vabadustega seotud riske ja organisatsiooni liiki nii töötlemisvahendite valikul kui ka töötlemise ajal.
1a. Võttes arvesse tehnika arengut ja juurutamise kulusid, tuleb vastutaval töötlejal võtta kõik mõistlikud meetmed selliste vastavuspõhimõtete ja -menetluste rakendamiseks, millega austatakse andmesubjektide sõltumatuid valikuid. Vastavuskontrolli põhimõtted vaadatakse läbi vähemalt kord kahe aasta jooksul ja vajadusel ajakohastatakse.
2. Lõikes 1 sätestatud meetmete hulka kuuluvad eelkõige:
(a) dokumenteerimine vastavalt artiklile 28;
(b) artiklis 30 sätestatud andmeturbenõuete rakendamine;
(c) isikuandmete kaitsele avaldatava mõju hindamine vastavalt artiklile 33;
(d) artikli 34 lõigete 1 ja 2 kohase eelneva loa taotlemise ja järelevalveasutusega eelneva konsulteerimise nõude täitmine;
(e) andmekaitseametniku määramine vastavalt artikli 35 lõikele 1.
3. Vastutav töötleja rakendab mehhanismidpeab suutma tõendada lõigetes 1 ja 2 osutatud meetmete tõhususe kontrollimiseks piisavust ja tõhusust. Vastutava töötleja korrapärased tegevuse üldaruanded, näiteks börsil noteeritud äriühingute kohustuslikud aruanded, peavad sisaldama lõikes 1 osutatud põhimõtete ja meetmete kokkuvõtvat kirjeldust. Kontrolli teostavad sõltumatud sise- või välisaudiitorid, kui see on proportsionaalne.
3a. Vastutaval töötlejal on õigus edastada isikuandmeid Euroopa Liidus selle kontserni sees, kuhu ta kuulub, kui selline töötlemine on vajalik kontsernisiseste õiguspäraste halduseesmärkide täitmiseks kontserniga seotud ärivaldkondades ning tagatakse piisaval tasemel isikuandmete ja andmesubjektide huvide kaitse kontsernisiseste andmekaitsealaste sätetega või artiklis 38 osutatud samaväärsete toimimisjuhenditega.
4. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud meetmete otstarbekuse kindlakstegemise kriteeriume ja nõudeid lisaks lõikes 2 osutatud kriteeriumidele ja nõuetele, lõikes 3 osutatud kontrollimise ja auditeerimise mehhanismide tingimusi ning proportsionaalsuse kriteeriume, kaaludes erimeetmete võtmist mikro-, väikeste ja keskmise suurusega ettevõtete jaoks. [ME 117]
Artikkel 23
Isikuandmete lõimitud kaitse ja vaikimisi kaitse
1. Võttes arvesse tehnika arengut, praegust tehnilist asjatundlikkust, rahvusvahelisi parimaid tavasid ja juurutamise kulusid, võtabandmetöötlemisest tulenevaid riske, võtavad vastutav töötleja töötlemisvahenditeja vajaduse korral volitatud töötleja töötlemise eesmärkide ja vahendite valikul ja töötlemise käigus selliseid proportsionaalseid tehnilisi ja organisatsioonilisi meetmeid, millega tagatakse töötlemise vastavus käesoleva määruse nõuetele ja andmesubjekti õiguste kaitsmine, eelkõige lähtuvalt artiklis 5 sätestatud põhimõtetest. Isikuandmete lõimitud kaitsel pööratakse erilist tähelepanu isikuandmete kogu olelusringi haldamisele alates andmete kogumisest ja töötlemisest kuni nende kustutamiseni, keskendudes ulatuslikele menetluslikele tagatistele, mis puudutavad isikuandmete täpsust, konfidentsiaalsust, puutumatust, füüsilist kaitset ja kustutamist. Kui vastutav töötleja on teinud artiklis 33 nõutud isikuandmete kaitse mõjuhinnangu, võetakse selle tulemusi arvesse mainitud meetmete ja korra väljatöötamisel.
1a. Et toetada lõimitud andmekaitse ulatuslikku rakendamist eri majandusvaldkondades, seatakse lõimitud andmekaitse riiklike pakkumiskutsete vajalikuks eeltingimuseks kooskõlas Euroopa Parlamendi ja nõukogu direktiiviga 2004/18/EÜ(16) ning Euroopa Parlamendi ja nõukogu direktiiviga 2004/17/EÜ(17) (kommunaalteenuste direktiiv).
2. Vastutav töötleja rakendab mehhanisme, millega tagatakse,tagab, et vaikimisi töödeldakse vaid töötlemise konkreetse eesmärgi seisukohalt olulisi isikuandmeid, ning eelkõige selle, et andmeid ei koguta rohkem, ei säilitata ega säilitatalevitata kauem, kui kõnealusel otstarbel minimaalselt vajalik. Nende mehhanismidega tagatakse eelkõige see, et isikuandmed ei ole vaikimisi üldiselt kättesaadavad ja et andmesubjektidel on võimalik kontrollida oma isikuandmete levikut.
3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse lõigetes 1 ja 2 osutatud meetmetele ja mehhanismidele, eelkõige aga eri sektorites ning toodete ja teenuste pakkumisel isikuandmete lõimitud kaitse kriteeriume ja nõudeid.
4. Komisjon võib kehtestada lõikes 1 ja 2 sätestatud nõuete kohased tehnilised standardid. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele. [ME 118]
Artikkel 24
Kaasvastutavad töötlejad
Kui mitu vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise tingimused ja vahendid, on nad kaasvastutavad töötlejad, kes omavaheliste kokkulepetega kehtestavad igaühe vastutuse käesolevast määrusest tulenevate kohustuste täitmisel, eelkõige andmesubjekti õiguste kasutamise korra ja mehhanismid. Selline kord võtab asjakohaselt arvesse kaasvastutavate töötlejate vastavaid tõhusaid rolle ja suhteid seoses andmesubjektidega ning korra põhitingimused tehakse andmesubjektile teatavaks. Kui vastutavate töötlejate vastutus ei ole selgelt määratletud, vastutavad nad solidaarselt. [ME 119]
Artikkel 25
Väljaspool liitu asuvate vastutavate töötlejate esindajad
1. Artikli 3 lõikes 2 osutatud olukorras määrab vastutav töötleja oma esindaja liidus.
2. Seda nõuet ei kohaldata, kui vastutav töötleja:
a) asub kolmandas riigis, kus komisjoni otsuse kohaselt on tagatud isikuandmete piisav kaitse vastavalt artiklile 41, või
b) on vastutav töötleja, kes töötleb igal järjestikusel 12-kuulisel ajavahemikul vähem kui 250 töötajaga ettevõte5000 andmesubjekti andmeid ning kes ei töötle artikli 9 lõikes 1 osutatud isikuandmete eriliike, asukohaandmeid või laste ja töötajate isikuandmeid suurtes toimikusüsteemides; või
c) on avaliku sektori asutus või organ või
d) pakub liidu andmesubjektidele kaupu ja teenuseid ainult juhuti., välja arvatud juhul, kui isikuandmete töötlemine puudutab artikli 9 lõikes 1 osutatud isikuandmete eriliike, asukohaandmeid või laste ja töötajate isikuandmeid suurtes toimikusüsteemides;
3. Esindaja asukoht peab olema ühes liikmesriikidest, kus elavad andmesubjektid, kelle isikuandmeid töödeldakse neiletoimub kaupade või teenuste pakkumise korral või kelle käitumist jälgitakse pakkumine andmesubjektidele või nende jälgimine.
4. Vastutava töötleja esindaja määramine ei piira võimalust võtta õiguslikke meetmeid vastutava töötleja enda suhtes. [ME 120]
Artikkel 26
Volitatud töötleja
1. Kui vastutav töötleja soovib lasta isikuandmeid töödelda enda nimel, volitab ta selleks töötleja, kes võtab käesoleva määruse nõuete täitmiseks ja andmesubjekti õiguste kaitsmiseks vajalikke tehnilisi ja organisatsioonilisi meetmeid, eelkõige tehnilisi turbemeetmeid ja töötlemise organisatsioonilisi meetmeid, ning tagab nende järgimise.
2. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või muu õigusakti alusel. Vastutav töötleja ja volitatud töötleja võivad ise kindlaks määrata käesoleva määruse kohased vastavad rollid ja ülesanded, ning tagavad, milles on eelkõige sätestatud, et volitatud töötleja:
a) tegutsebtöötleb isikuandmeid ainult vastavalt vastutava töötlejatöötaja juhtnööridele, eelkõige juhul, kui isikuandmete edastamine on keelatud kui liidu ja liikmesriikide õigusaktides ei ole sätestatud teisiti;
b) kasutab üksnes selliseid töötajaid, kes on tõotanud järgida konfidentsiaalsusnõuet või kelle suhtes kehtib õigusaktides sätestatud konfidentsiaalsusnõue;
c) võtab kõik vajalikud meetmed vastavalt artiklile 30;
d) kaasab teisi töötlejaidmäärab tingimused teise töötleja kaasamiseks ainult vastutava töötleja eelneval loal, juhul kui ei ole teisiti sätestatud;
e) määrab koos vastutava töötlejaga võimaluse piires ja vastavalt töötlemise laadile kindlaks nõuete- ja asjakohased tehnilised ja organisatsioonilised nõuded, mille kohaselt täidetakse vastutava töötleja kohustust vastata III peatükis sätestatud taotlustele andmesubjektide õiguste teostamiseks;
f) aitab vastutaval töötlejal täita artiklites 30–34 sätestatud kohustusi, võttes arvesse töötlemise laadi ja töötlejale kättesaadavat teavet;
g) annabtagastab töötlemise tulemused pärast töötlemist üle vastutavale töötlejale, eiega töötle isikuandmeid muul eesmärgil ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriikide õigusaktidega nõutakse andmete säilitamist;
h) teeb vastutavale töötlejale ja järelevalveasutusele kättesaadavaks kogu teabe, mille alusel saab kontrollidatõendada käesolevas artiklis sätestatud kohustuste täitmist., ja võimaldab kohapealset kontrolli;
3. Vastutav töötleja ja volitatud töötleja kehtestavad kirjalikult vastutava töötleja juhised ja volitatud töötleja lõikes 2 osutatud kohustused.
3a. Lõikes 1 osutatud piisavate tagatiste andmist võib tõendada artikli 38 kohaste toimimisjuhendite järgimise või artikli 39 kohase sertifitseerimismehhanismiga.
4. Kui volitatud töötleja töötleb isikuandmeid eesmärgil, mis ei vasta vastutava töötleja antud ülesandele, või saab õiguse otsustada andmete töötlemise eesmärkide ja vahendite üle, käsitatakse volitatud töötlejat sellise töötlemise suhtes vastutava töötlejana ja tema suhtes kohaldatakse artiklis 24 sätestatud kaasvastutuse eeskirju.
5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud vastutuse, kohustuste ja ülesannete suhtes kohaldatavaid kriteeriume ja nõudeid ning kehtestada kontserni raames isikuandmete töötlemise, eelkõige järelevalve ja aruandluse tingimused. [ME 121]
Artikkel 27
Töötlemine vastutava töötleja ja volitatud töötleja volituse alusel
Volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhistele alusel, välja arvatud liidu või liikmesriigi õigusaktidega ettenähtud juhtudel.
Artikkel 28
Dokumenteerimine
1. Vastutav töötleja,ja volitatud töötleja ja vajaduse korral vastutava töötleja esindaja dokumenteerivad omal vastutusel tehtud töötlemistoimingud säilitavad korrapäraselt ajakohastatud dokumentatsiooni, mis on vajalik käesolevas määruses sätestatud nõuete täitmiseks.
2. Dokumendid peavad sisaldama vähemalt järgmisi andmeidLisaks säilitavad vastutav töötleja ja volitatud töötleja dokumentatsiooni, mis sisaldab järgmist teavet:
a) vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ning vajaduse korral esindaja nimi ja kontaktandmed;
b) vajaduse korral andmekaitseametniku nimi ja kontaktandmed;
c) töötlemise eesmärgid, sealhulgas vastutava töötleja õigustatud huvi, kui töötlemine põhineb artikli 6 lõike 1 punktil f;
d) andmesubjektide kategooria ja nendega seotud isikuandmete liik;
e) andmete vastuvõtja või vastuvõtjate kategooria, sealhulgas vastutavad töötlejadvajaduse korral nende vastutavate töötlejate nimi ja kontaktandmed, kellele isikuandmed avalikustatakse vastavalt nende õigustatud huvile;
f) kui andmeid edastatakse kolmandasse riiki või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist artikli 44 lõike 1 punktis h osutatud edastamisega, siis kaitsemeetmete kohta koostatud dokumendid;
g) üldine teave eri andmeliikide kustutamise tähtaja kohta;
h) artikli 22 lõkkes 3 osutatud mehhanismide kirjeldus.
3. Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja esitavad dokumendid taotluse alusel järelevalveasutusele.
4. Lõikes 1 ja 2 osutatud kohustusi ei kohaldata järgmiste vastutavate töötlejate ega volitatud töötlejate suhtes:
a) isikuandmeid töötleb ärihuvita füüsiline isik;
b) töötleja on vähem kui 250 töötajaga ettevõte või organisatsioon, kes töötleb isikuandmeid üksnes kõrvaltegevusena.
5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud dokumentide suhtes kohaldatavaid kriteeriume ja nõudeid, et võtta arvesse eelkõige vastutava töötleja ja volitatud töötleja ning vajaduse korral ka töötleja esindaja ülesandeid.
6. Komisjon võib kehtestada lõikes 1 osutatud dokumentide tüüpvormid. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele. [ME 122]
Artikkel 29
Koostöö järelevalveasutusega
1. Vastutav töötleja, volitatud töötleja ja kui on siis volitatud töötleja ning vastutava töötleja esindaja teevad asjakohase taotluse alusel järelevalveasutusega tema ülesannete täitmiseks koostööd, eelkõige esitades artikli 53 lõike 2 punktis a osutatud teavet ja võimaldades kõnealuse lõike punktis b sätestatud juurdepääsu.
2. Kui järelevalveasutus täidab oma ülesandeid vastavalt artikli 53 lõikele 2, vastavad vastutav töötleja ja volitatud töötleja tema märkustele mõistliku tähtaja jooksul, mille pikkuse määrab kindlaks järelevalveasutus. Järelevalveasutuse märkustele esitatud vastuses kirjeldatakse võetud meetmeid ja saavutatud tulemusi. [ME 123]
2.JAGU
ANDMETURVE
Artikkel 30
Töötlemise turvalisus
1. Vastutav töötleja ja volitatud töötleja võtavad vajalikke tehnilisi ja organisatsioonilisi meetmeid, et tagada töötlemisest ja kaitstavate andmete laadist tulenevatele ohtudele vastav turvalisus, võttes arvesse artikli 33 kohast isikuandmete kaitsele avaldatava mõju hinnangut ning võttes arvesse tehnika taset ja selliste meetmete rakendamise kulusid.
1a. Võttes arvesse tehnika arengut ja juurutamise kulusid, hõlmab turbepoliitika järgmist:
a) võime tagada, et isikuandmete terviklus on valideeritud;
b) võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;
c) võime taastada õigeaegselt andmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral, mis mõjutab infosüsteemide ja -teenuste kättesaadavust, terviklust ja konfidentsiaalsust;
d) tundlike isikuandmete töötlemise korral vastavalt artiklitele 8 ja 9 lisaturvameetmed, et tagada ülevaade olukorra ohtudest ja võime võtta peaaegu reaalajas ennetus-, parandus- ja leevendusmeetmeid tuvastatud nõrkuste või vahejuhtude puhul, mis võiksid endast andmetele ohtu kujutada;
e) kehtiva andmeturbe alase poliitika, korra ja kavade tõhususe korrapärase testimise ja hindamise menetlus kestva tõhususe tagamiseks.
2. Vastutav töötleja ja volitatud töötleja rakendavad riskianalüüsi alusel lõikes 1 osutatud tehnilisi ja organisatsioonilisi meetmeid, et kaitsta isikuandmeid juhusliku ja ebaseadusliku hävimise ning juhusliku kadumise ja muutmise eest ning vältida igasugust ebaseaduslikku töötlemist, eriti loata avalikustamist, levitamist ja juurdepääsu. nimetatud meetmetega tuleb vähemalt:
a) tagada, et isikuandmetele oleks juurdepääs üksnes volitatud töötajatel seaduslikult lubatud eesmärkidel;
b) kaitsta salvestatud või edastatud isikuandmeid juhusliku või ebaseadusliku hävimise, juhusliku kadumise või muutmise ja loata või ebaseadusliku säilitamise, töötlemise, juurdepääsu või avalikustamise eest; ning
c) tagada isikuandmete töötlemise turvapoliitika rakendamine.
3. Komisjoni volitatakse Vastavalt artiklile 86 võtma vastu delegeeritud õigusakteartikli 66 lõike 1 punktile b usaldatakse Euroopa Andmekaitsenõukogule suuniste, soovituste ja parimate tavade avaldamine lõigetes 1 ja 2 osutatud kriteeriumide ja tingimuste ning tehniliste ja organisatsiooniliste meetmete täpsustamiseks kohta, sealhulgas tehnika taseme kindlaksmääramisekskindlaksmääramine konkreetsete sektorite ja andmetöötlusolukordade kaupa, võttes eelkõige arvesse tehnoloogia ning isikuandmete lõimitud ja vaikimisi kaitse lahenduste arengut, välja arvatud juhtudel, kui kohaldatakse lõiget 4.
4. Komisjon võib vajaduse korral vastu võtta rakendusakte, millega täpsustatakse lõigetes 1 ja 2 sätestatud nõuete täitmist eri olukordades, eelkõige selleks et:
a) vältida loata juurdepääsu isikuandmetele;
b) vältida isikuandmete loata avalikustamist, lugemist, kopeerimist, muutmist, kustutamist ja eemaldamist;
c) tagada töötlemistoimingute õiguspärasuse kontrollimine.
Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele. [ME 124]
Artikkel 31
Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest
1. Vastutav töötleja teavitab järelevalveasutust isikuandmetega seotud rikkumisest põhjendamatu viivitusteta ja võimaluse korral 24 tunni jooksul pärast rikkumise avastamist. Kui järelevalveasutusele esitatakse teade hiljem kui 24 tunni jooksul, esitatakse teates selle kohta põhjendusviivituseta.
2. Vastavalt artikli 26 lõike 2 punktile f teavitab Volitatud töötleja teavitab vastutavat töötlejat isikuandmetega seotud rikkumisest kohepõhjendamatu viivituseta pärast selle avastamist.
3. Lõikes 1 osutatud teates tuleb vähemalt:
a) kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada asjaomaste andmesubjektide kategooriad ja arv ning isikuandmete liigid ja arv;
b) teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;
c) kirjeldada soovitatavaid meetmeid, mis võimaldavad leevendada isikuandmetega seotud rikkumise võimalikku negatiivset mõju;
d) kirjeldada isikuandmetega seotud rikkumise tagajärgi;
e) kirjeldada vastutava töötleja kavandatud või võetud meetmeid isikuandmetega seotud rikkumise lahendamiseks ning leevendada selle tagajärgi.
Vajaduse korral võib teavet anda järk-järgult.
4. Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, nende mõju ja võetud parandusmeetmed. Dokumendid peavad võimaldamaolema piisavad, et võimaldada järelevalveasutusel kontrollida käesolevas artiklis ja artiklis 30 sätestatud nõuete täitmist. Dokumentides esitatakse ainult nimetatud eesmärgi kohane teave.
4a. Järelevalveasutus peab avalikku registrit teavitatud rikkumiste liikide kohta.
5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, Euroopa Andmekaitsenõukogule usaldatakse artikli 66 lõike 1 punktile b kohaste suuniste, soovituste ja parimate tavade avaldamine, et täpsustadatuvastada rikkumine ja määrata kindlaks lõigetes 1 ja 2 osutatud rikkumise tuvastamise kriteeriume ning olukordi põhjendamatu viivitus ja olukord, mille puhul vastutav töötleja ja volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama.
6. Komisjon võib kehtestada järelevalveasutusele esitatava teate tüüpvormi ja esitamise korra ning lõikes 4 osutatud dokumentide vormi ja esitamise korra, sealhulgas tähtaja, mille möödumisel on lubatud neis esitatud teave kustutada. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele. [ME 125]
Artikkel 32
Andmesubjekti teavitamine isikuandmetega seotud rikkumisest
1. Kui isikuandmetega seotud rikkumine võib rikkuda andmesubjekti isikuandmete ja tema eraelu, õiguste või õigustatud huvide kaitset, teavitab vastutav töötleja pärast artiklis 31 osutatud teavitamist sellest põhjendamatu viivituseta ka andmesubjekti.
2. Andmesubjektile lõike 1 kohaselt esitatud teatesteade on ülevaatlik ning koostatud selges ja lihtsas keeles. Selles kirjeldatakse isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 31 lõike 3 punktides b, c ja d nimetatud teave ja soovitused ning andmesubjektide õigustest, sealhulgas kahju hüvitamisest.
3. Andmesubjekti ei pea teavitama isikuandmetega seotud rikkumisest, kui vastutav töötleja suudab järelevalveasutusele tõendada, et ta on rakendanud vajalikud tehnilised abinõud nende isikuandmete kaitsmiseks, mille suhtes rikkumine toime pandi. Selliste tehniliste kaitseabinõudega muudetakse andmed loetamatuks kõikidele juurdepääsuõiguseta isikutele.
4. Ilma et see piiraks vastutava töötleja kohustust teavitada andmesubjekti isikuandmetega seotud rikkumistest, võib järelevalveasutus pärast rikkumise võimalike kahjulike mõjude hindamist vastutavalt töötlejalt nõuda andmesubjekti teavitamist isikuandmetega seotud rikkumisest, kui vastutav töötleja ei ole rikkumisest ise veel teatanud.
5. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, Euroopa Andmekaitsenõukogule usaldatakse artikli 66 lõike 1 punktile b kohaste suuniste, soovituste ja parimate tavade avaldamine, et täpsustada kriteeriume ja nõudeid, mille alusel tehakseteha kindlaks, kas isikuandmetega seotud rikkumine võib kahjustada lõikes 1 osutatud andmesubjekti isikuandmeid, eraelu puutumatust, ning õigusi või legitiimseid huvisid.
6. Komisjon võib kehtestada lõikes 1 osutatud teate vormi ja andmesubjekti teavitamise korra. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele. [ME 126]
Artikkel 32a
Riskihindamine
1. Vastutav töötleja või vajaduse korral volitatud töötleja viivad läbi kavandatud andmete töötlemise võimaliku mõju hindamise andmesubjektide õiguste ja vabaduste suhtes, hinnates seda, kas töötlemistoimingud võivad tekitada konkreetseid riske.
2. Järgmised töötlemistoimingud võivad tekitada konkreetseid riske:
a) rohkem kui 5000 andmesubjekti andmete töötlemine iga järjestikuse 12-kuulise ajavahemiku jooksul;
b) artikli 9 lõikes 1 viidatud isikuandmete andmete erikategooriate, asukohaandmete või laste ja töötajate isikuandmete töötlemine suurtes toimikusüsteemides;
c) profiilianalüüs, millel põhinevad andmesubjekti jaoks õiguslike tagajärgedega või teda samaväärselt oluliselt mõjutavad meetmed;
d) tervishoiuteenuse osutamiseks vajaliku teabe töötlemine ning epidemioloogilised, vaimu- ja nakkushaiguste uuringud, kui andmete töötlemise eesmärk on võtta meetmeid või teha otsuseid, mis käsitlevad paljusid üksikisikuid;
e) avalike alade ulatuslik automatiseeritud jälgimine:
f) muud töötlemistoimingud, mille puhul tuleb nõu pidada andmekaitseametniku või järelevalveasutusega vastavalt artikli 34 lõike 2 punktile b;
g) kui isikuandmetega seotud rikkumine võib rikkuda andmesubjekti isikuandmete, tema eraelu, õiguste või õigustatud huvide kaitset;
h) vastutava töötleja või volitatud töötleja põhitegevuse moodustavad töötlemistoimingud, mille laad, ulatus ja/või eesmärk tingivad andmesubjektide korrapärase ja süstemaatilise järelevalve.
i) kui isikuandmed tehakse kättesaadavaks mitmetele isikutele, kelle arvu piiramist ei ole võimalik mõistlikult eeldada.
3. Riskihindamise tulemuste alusel
a) juhul kui viiakse läbi mõnda lõike 2 punktides a või b osutatud töötlemistoimingut, määravad vastutavad töötleja, kes ei ole asutatud ELis, omale esindaja liidus vastavalt artiklis 25 kehtestatud nõuetele ja eranditele;
b) juhul kui viiakse läbi mõnda lõike 2 punktides a või b või h osutatud töötlemistoimingut, määrab vastutav töötleja andmekaitseametniku vastavalt artiklis 35 kehtestatud nõuetele ja eranditele;
c) juhul kui viiakse läbi mõnda lõike 2 punktides a, b, c, d, e, f, g või h osutatud töötlemistoimingut, viib vastutav töötleja või tema nimel tegutsev volitatud töötleja läbi isikuandmete kaitsele avaldatava mõju hindamise vastavalt artiklile 33.
d) juhul kui viiakse läbi lõike 2 punktis f osutatud töötlemistoiminguid, konsulteerib vastutav töötleja andmekaitseametnikuga või juhul kui andmekaitseametnikku ei ole määratud, artikli 34 kohaselt järelevalveasutusega.
4. Riskihindamine vaadatakse läbi hiljemalt aasta möödudes, või ka viivitamatult, kui andmetöötlustoimingute iseloom, kohaldamisala või eesmärgid oluliselt muutuvad. Kui vastutav töötleja ei ole lõike 3 punkti c kohaselt kohustatud viima läbi andmekaitse mõjuhinnangut, dokumenteeritakse riskihindamine. [ME 127]
3.JAGU
ISIKUANDMETE KAITSELE AVALDATAVA MÕJU HINNANG JA EELNEV LUBA KAITSE OLELUSRINGI HALDAMINE [ME 128]
Artikkel 33
Isikuandmete kaitsele avaldatava mõju hinnang
1. Kui töötlemistoimingud ohustavad oma laadi, ulatuse või eesmärkide tõttu andmesubjektide õigusi ja vabadusi,see on artikli 32 a lõike 3 alusel nõutav hindab vastutav töötleja või tema nimel tegutsev volitatud töötleja kavandatavate töötlemistoimingute mõju andmesubjekti õigustele ja vabadustele, eriti nende õigusele isikuandmete kaitsele. Endast sarnaseid riske kujutavate sarnaste töötlemistoimingute kogumiga tegelemiseks piisab ühest hindamisest.
2. Lõikes 1 osutatud ohtu kujutavad endast eelkõige järgmised töötlemistoimingud:
a) automatiseeritud andmetöötlusel põhinev füüsilise isiku süstemaatiline ja põhjalik analüüsimine, et hinnata või prognoosida füüsilise isiku majanduslikku olukorda, asukohta, tervist, eelistusi, usaldusväärsust ja käitumist eesmärgiga teha andmesubjekti jaoks õiguslike tagajärgedega või teda oluliselt mõjutavaid otsuseid;
b) seksuaalelu, tervislikku seisundit, rassilist ja etnilist päritolu käsitleva või tervishoiuteenuse osutamiseks vajaliku teabe töötlemine ning epidemioloogilised, vaimu- ja nakkushaiguste uuringud, kui andmete töötlemise eesmärk on võtta meetmeid või teha otsuseid, mis käsitlevad paljusid üksikisikuid;
c) avalike alade ulatuslik jälgimine eeskätt elektrooniliste optikaseadmetega (videojärelevalveseadmetega);
d) laste isikuandmete ning geneetiliste ja biomeetriliste isikuandmete töötlemine suurtes toimikusüsteemides;
e) muud töötlemistoimingud, mille puhul tuleb nõu pidada järelevalveasutusega vastavalt artikli 34 lõike 2 punktile b;
3. HindamineHindamisel võetakse arvesse isikuandmete kogu olelusringi haldamist kogumisest kuni töötlemise ja hävitamiseni. See hõlmab vähemalt kavandatud töötlemistoimingute üldist kirjeldust, andmesubjektide õigusi ja vabadusi ähvardavate ohtude hinnangut, ohtude kõrvaldamiseks kavandatud meetmeid, kaitsemeetmed, isikuandmete kaitseks ja käesoleva määruse järgimise tõendamiseks võetavaid turbemeetmeid ja rakendatavaid mehhanisme, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huvi. järgmist:
a) kavandatud töötlemistoimingute, töötlemise eesmärkide ja asjakohasel juhulvastutava töötleja õigustatud huvide süstemaatiline kirjeldus;
b) kavandatud töötlemistoimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;
c) andmesubjektide õigusi ja vabadusi ähvardavate ohtude hindamine, sealhulgas toimingus sisalduv või selle tulemusena suurenev diskrimineerimisoht;
d) ohtude kõrvaldamiseks ja töödeldavate isikuandmete mahu minimeerimiseks kavandatud meetmete kirjeldus;
e) loetelu tagatistest, isikuandmete kaitseks ja käesoleva määruse järgimise tõendamiseks võetavatest turvameetmest ja rakendatavatest mehhanismidest, näiteks pseudonüümide kasutamine, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huvi;
f) üldine teave eri andmeliikide kustutamise tähtaegade kohta;
g) selgitus, millist isikuandmete lõimitud kaitset ja vaikimisi kaitset on rakendatud;
h) loetelu isikuandmete vastuvõtjatest või vastuvõtjate liikidest;
i) asjakohasel juhul nimekiri andmete kavandatavatest edastamistest kolmandale riigile või rahvusvahelisele organisatsioonile koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega;
j) andmetöötluse konteksti hindamine.
3a. Kui vastutav töötleja või volitatud töötleja on määranud andmekaitseametniku, peaks too mõju hindamisel osalema.
3b. Mõjuhinnang dokumenteeritakse ja selles kehtestatakse andmekaitsenõuete täitmise korrapäraste perioodiliste kontrollide ajakava vastavalt artikli 33a lõikele 1. Kui artiklis 33a nimetatud andmekaitsenõuete täitmise kontrolli käigus leitakse puudusi, tuleb hinnangut põhjendamatu viivitusteta ajakohastada. Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja esitavad hinnangu taotluse alusel järelevalveasutusele.
4. Vastutav töötleja küsib andmesubjektide või nende esindajate seisukohti kavandatud töötlemise kohta, ilma et see piiraks kaubandus- või avalike huvide kaitset ja töötlemistoimingute turvalisust.
5. Kui vastutav töötleja on avaliku sektori asutus või organ ja kui töötlemine on vajalik artikli 6 lõike 1 punktis c osutatud seadusjärgse kohustuse täitmiseks ning selliste töötlemistoimingute tegemise eeskirjad ja kord on ette nähtud liidu õigusaktidega, siis lõikeid 1–4 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks sellise hindamise läbi viia enne töötlemistoimingute alustamist.
6. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõigetes 1 ja 2 osutatud töötlemistoimingutega seotud konkreetse ohu tuvastamise kriteeriume ja tingimusi ning lõikes 3 osutatud hindamisnõudeid, sealhulgas skaleeritavuse, kontrollitavuse ja auditeeritavuse tingimusi. Seejuures kaalub komisjon konkreetsete meetmete kehtestamist mikro-, väikeste ja keskmise suurusega ettevõtete jaoks.
7. Komisjon võib kehtestada lõikes 3 osutatud hindamise ja hinnangu kontrollitavuse ja auditeeritavuse nõuded ja korra. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.[ME 129]
Artikkel 33a
Andmekaitsenõuete täitmise kontroll
1. Hiljemalt kaks aastat pärast artikli 33 lõikes 1 sätestatud mõjuhinnangu koostamist viib vastutav töötleja või tema nimel tegutsev volitatud töötleja läbi andmekaitsenõuete täitmise kontrolli. Nimetatud kontroll peab näitama, et isikuandmete töötlemisel järgitakse isikuandmete kaitse mõjuhinnangu nõudeid.
2. Nõuete täitmise kontroll toimub korrapäraselt vähemalt kord kahe aasta jooksul või kohe, kui töötlemistoimingutega seotud konkreetsed riskid muutuvad.
3. Kui nõuete täitmise kontrollil leitakse täitmise puudujääke, antakse kontrolli käigus soovitusi nende kõrvaldamiseks.
4. Nõuete täitmise kontroll ja selle soovitused dokumenteeritakse. Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja esitavad kontrollidokumendid taotluse alusel järelevalveasutusele.
5. Kui vastutav või volitatud töötleja on määranud andmekaitseametniku, peaks too kontrollidokumentide läbivaatamisel osalema. [ME 130]
Artikkel 34
Eelnev luba ja konsulteerimine
1. Vastavalt vajadusele kas vastutav töötleja või volitatud töötleja taotleb järelevalveasutuselt loa enne isikuandmete töötlemise algust, et kavandatud töötlemine vastaks käesoleva määruse nõuetele ning eelkõige vähendamaks andmesubjekti jaoks ohtu, et vastutav töötleja või volitatud töötleja võtab vastu artikli 42 lõike 2 punktis d osutatud lepingusätted või jätab isikuandmete edastamisel kolmandasse riiki või rahvusvahelisele organisatsioonile õiguslikult siduva dokumendiga kehtestamata artikli 42 lõikes 5 osutatud kaitsemeetmed.
2. Vastutav töötleja või tema nimel tegutsev volitatud töötleja konsulteerib andmekaitseametnikuga või juhul kui andmekaitseametnikku ei ole määratud, järelevalveasutusega enne isikuandmete töötlemise algust, et tagada kavandatud töötlemise vastavus käesoleva määruse nõuetele ning vähendada andmesubjektidele tekkivat ohtu, kui:
a) artiklis 33 sätestatud isikuandmete kaitse mõjuhinnangu kohaselt kujutavad töötlemistoimingud oma laadi, ulatuse ja eesmärkide tõttu endast konkreetset ja märkimisväärset ohtu või
b) andmekaitseametnik või järelevalveasutus peab vajalikuks eelnevalt konsulteerida selliste lõike 4 kohaselt kindlaksmääratud töötlemistoimingute küsimuses, mis oma olemuse, ulatuse ja/või eesmärgi tõttu võivad tõenäoliselt ohustada andmesubjektide õigusi ja vabadusi.
3. Kui pädev järelevalveasutus on seisukohal teeb kooskõlas oma volitustega kindlaks, et töötlemine ei vasta käesoleva määruse nõuetele, eelkõige kui töötlemisega kaasnevad ohud ei ole piisavalt kindlaks tehtud ega leevendatud, keelab ta kavandatud töötlemise ja teeb ettepanekud töötlemise vastavusseviimiseks määrusega.
4. Järelevalveasutus Euroopa Andmekaitsenõukogu koostab ja avalikustab loetelu töötlemistoimingutest, mille suhtes kohaldatakse lõike 2 punktis b sätestatud eelnevat konsulteerimist. Järelevalveasutus edastab loetelud Euroopa Andmekaitsenõukogule.
5. Kui lõikes 4 sätestatud loetelu hõlmab töötlemistoimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele mitmes liikmesriigis või andmesubjektide käitumise kontrollimisega või kui töötlemistoimingud võivad oluliselt mõjutada isikuandmete vaba liikumist Euroopa Liidus, kohaldab järelevalveasutus enne loetelu vastuvõtmist artiklis 57 osutatud järjepidevuse mehhanismi.
6. Vastutav töötleja või volitatud töötleja esitab järelevalveasutustele isikuandmete kaitsele avaldatava mõju hinnangu, nagu sätestatud artiklis 33, ja taotluse korral ka muu teabe, mille alusel järelevalveasutus saab hinnata, kas töötlemine, eelkõige andmesubjekti isikuandmete kaitset ohustavate tegurite suhtes võetavad meetmed ja pakutavad kaitsemeetmed vastavad käesolevale määrusele.
7. Liikmesriigid konsulteerivad järelevalveasutusega, kui nad valmistavad ette riigi parlamendis vastuvõetavat seadusandlikku meedet või seadusandliku meetme alusel võetavat meedet, millega määratakse kindlaks töötlemise laad, et viia kavandatav töötlemine kooskõlla käesoleva määrusega ning eelkõige tagada andmesubjekte ähvardavate ohtude leevendamine.
8. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõike 2 punktis a osutatud märkimisväärse ohu tuvastamise kriteeriume ja nõudeid.
9. Komisjon võib kehtestada lõigetes 1 ja 2 osutatud eelneva loa ja konsultatsioonide ning järelevalveasutuste lõike 6 alusel teavitamise tüüpvormid ja korra. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele. [ME 131]
4.JAGU
ANDMEKAITSEAMETNIK
Artikkel 35
Andmekaitseametniku määramine
1. Vastutava töötleja ja volitatud töötleja määravad ametisse andmekaitseametniku, kui:
a) töötleja on avaliku sektori asutus või organ või
b) töötleja on vähemalt 250 töötajaga ettevõtejuriidiline isik ja töötlemine seondub enam kui 5000 andmesubjektiga igal järjestikusel 12-kuulisel ajavahemikul; või
c) vastutava töötleja või volitatud töötleja põhitegevuse moodustavad töötlemistoimingud, mille laad, ulatus ja/või eesmärk tingivad andmesubjektide korrapärase ja süstemaatilise järelevalve.; või
d) vastutava töötleja või volitatud töötleja põhitegevus on artikli 9 lõikes 1 osutatud andmete erikategooriate, asukohaandmete või laste ja töötajate isikuandmete töötlemine suurtes toimikusüsteemides.
2. Lõike 1 punktis b osutatud juhul Kontsernile võib kontsernile määrata ühe juhtiva andmekaitseametniku, kui tagatakse, et andmekaitseametnik on hõlpsasti kättesaadav kõikidest tegevuskohtadest.
3. Kui vastutav töötleja või volitatud töötleja on avaliku sektori asutus või organ, võib mitme üksuse jaoks määrata ühe andmekaitseametniku olenevalt avaliku sektori asutuse või organi organisatsioonilisest struktuurist.
4. Muudel kui lõikes 1 osutatud juhtudel võivad vastutav töötleja ja volitatud töötleja ning neid esindavad ühingud ja organid määrata ühe andmekaitseametniku.
5. Vastutav töötleja ja volitatud töötleja lähtuvad andmekaitseametniku määramisel tema kutseoskustest, eelkõige isikuandmete kaitse alaste õigusaktide ja tava tundmisest ning suutlikkusest täita artiklis 37 osutatud ülesandeid. Erialateadmised määratakse kindlaks eelkõige vastavalt andmete töötlemise laadile ja vastutava töötleja ja volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele.
6. Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametniku muud ametiülesanded on kooskõlas tema isikuandmete kaitse alaste ülesannete ja kohustustega ega põhjusta huvide konflikti.
7. VastutavaVastutav töötleja ja volitatud töötleja määravad andmekaitseametniku vähemalt kaheaastaseksnelja-aastaseks ametiajaks töötaja puhul või kaheks aastaks välise teenuseosutaja puhul. Andmekaitseametniku võib ametisse tagasi nimetada. Andmekaitseametniku võib tema ametiaja jooksul ametist kõrvaldada ainult juhul, kui ta enam ei vasta kohustuste täitmiseks esitatavatele tingimustele.
8. Andmekaitseametnik võib olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita oma ülesandeid teenuslepingu alusel.
9. Vastutava töötleja ja volitatud töötleja teevad andmekaitseametniku nime ja kontaktandmed teatavaks järelevalveasutusele ja üldsusele.
10. Andmesubjektidel on õigus pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemisega, ning taotleda käesolevast määrusest tulenevate õiguste kasutamist.
11. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõike 1 punktis c osutatud vastutava töötleja ja volitatud töötleja põhitegevuse määratlemise kriteeriume ja nõudeid ning lõikes 5 osutatud andmekaitseametniku kutseoskuse nõudeid. [ME 132]
Artikkel 36
Andmekaitseametniku ametiseisund
1. Vastutav töötleja ja volitatud töötleja tagavad andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitse küsimustesse.
2. Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametnik on oma ülesannete ja kohustuste täitmisel sõltumatu ega saa oma tööülesannete täitmisel juhtnööre. Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja juhtkonnale. Vastutav töötleja või volitatud töötleja määravad juhtkonda liikme, kes vastutab käesoleva määruse sätete täitmise eest.
3. Vastutava töötleja ja volitatud töötleja toetavad andmekaitseametnikku tema ülesannete täitmisel, andes tema käsutusse töötajad, ruumid, seadmed ja muud artiklis 37 osutatud kohustuste ja ülesannete täitmiseks vajalikud vahendid.
4. Andmekaitseametnik on kohustatud hoidma saladuses andmesubjekti isikut ja andmesubjekti isikut tuvastada võimaldavaid asjaolusid, välja arvatud juhul, kui andmesubjekt ta sellest kohustusest vabastab. [ME 133]
Artikkel 37
Andmekaitseametniku ülesanded
1. Vastutav töötleja ja volitatud töötleja annavad andmekaitseametnikule vähemalt järgmised ülesanded:
a) suurendada teadlikkust, teavitada ja nõustada vastutavat töötlejat ja volitatud töötlejat seoses nende kohustustega, mis tulenevad käesolevast määrusest, eelkõige seoses tehniliste ja organisatsiooniliste meetmete ja korraga, ning oma tegevus ja saadud vastused dokumenteerida;
b) jälgida vastutava töötleja ja volitatud töötleja isikuandmete kaitse põhimõtete rakendamist ja kohaldamist, sealhulgas ülesannete jaotamist, isikuandmete töötlemises osaleva personali koolitamist ja nendega seotud auditeerimist;
c) jälgida käesoleva määruse, eelkõige isikuandmete lõimitud ja vaikimisi kaitse, andmeturbe, andmesubjektide teavitamise ning andmesubjektide poolt nende käesolevast määrusest tulenevate õiguste kasutamiseks esitatavate taotluste kohta kehtestatud nõuete rakendamist ja kohaldamist;
d) tagada artiklis 28 osutatud dokumenteerimine;
e) jälgida isikuandmetega seotud rikkumiste dokumenteerimist ning neist teavitamist vastavalt artiklitele 31 ja 32;
f) jälgida isikuandmete kaitsele avaldatava mõju hinnangu koostamist vastutava töötleja ja volitatud töötleja poolt ning eelneva loa taotlemist ja eelneva konsulteerimise kohaldamist, kui seda nõutakse vastavalt artiklitele 32a, 33 ja 34;
g) jälgida järelevalveasutuse taotlustele vastamist ja oma pädevuse piires ka temaga koostöö tegemist vastavalt järelevalveasutuse taotlusele või andmekaitseametniku omal algatusel;
h) tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse kontaktisikuna ja vajaduse korral konsulteerida järelevalveasutusega omal algatusel;
i) kontrollida vastavust käesolevale määrusele artiklis 34 sätestatud eelneva konsulteerimise mehhanismi raames;
j) teavitada töövõtjate esindajaid töövõtjate andmete töötlemisest.
2. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud ülesannete, sertifitseerimise, ametiseisundi, volituste ja vahendite suhtes kohaldatavaid kriteeriume ja nõudeid. [ME 134]
5.JAGU
TOIMIMISJUHENDID JA SERTIFITSEERIMINE
Artikkel 38
Toimimisjuhendid
1. Selleks et aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse andmetöötlussektorite eripära, toetavad liikmesriigid, järelevalveasutused ja komisjon selliste toimimisjuhendite koostamist või järelevalveasutuste koostatud selliste toimimisjuhendite vastuvõtmist, milles käsitletakse eelkõige järgmise kohta järgmist:
a) andmete õiglane ja läbipaistev töötlemine;
aa) tarbijaõiguste järgimine;
b) andmete kogumine;
c) üldsuse ja andmesubjektide teavitamine;
d) andmesubjektide taotlused kasutada oma õigusi;
e) laste teavitamine ja kaitsmine;
f) andmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele;
g) vastutavate töötlejate järelevalve mehhanismid ja vastutavate töötlejate poolt toimimisjuhendi rakendamise tagamine;
h) vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 73 ja 75.
2. Liikmesriigi vastutavate töötlejate ja volitatud töötlejate ühendused ja muud organid võivad koostatava, muudetava või täiendatava toimimisjuhendi esitada liikmesriigi järelevalveasutusele arvamuse saamiseks. Järelevalveasutus võib esitada esitab põhjendamatu viivituseta oma arvamuse, kas töötlemine toimimisjuhendi või muudatuste kavandkavandi alusel vastab käesolevale määrusele. Järelevalveasutus palub andmesubjektidel või nende esindajatel esitada kavandi kohta seisukoha.
3. Mitme liikmesriigi vastutavate töötlejate javõi volitatud töötlejate ühendused ja muud organid võivad esitada toimimisjuhendi ja selle muudatuste kavandi komisjonile.
4. Komisjon võib oma rakendusaktigaKomisjoni volitatakse võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist vastavalt artiklile 86 vastu delegeeritud õigusakte, et otsustada, et talle vastavalt lõikele 3 esitatud toimimisjuhendid ning nende muudatused ja täiendused on kooskõlas käesoleva määrusega ja kehtivad terves liidus. Kõnealused rakendusaktid võetakse vastu artikli 88 artiklis 2 osutatud kontrollimenetluse kohaselt. Nende delegeeritud õigusaktidega antakse andmesubjektidele kohtulikult kaitstavad õigused.
5. Komisjon tagab nõuetekohase teavitamise lõike 4 kohase otsusega terves liidus kehtivaks tunnistatud toimimisjuhenditest. [ME 135]
Artikkel 39
Sertifitseerimine
1. Liikmesriigid ja komisjon toetavad eelõige Euroopa tasandil isikuandmete kaitse sertifitseerimise mehhanismide ning isikuandmete kaitse pitserite ja märgiste kasutuselevõttu, et andmesubjektid saaksid kiiresti hinnata vastutavate töötlejate ja volitatud töötlejate pakutavat isikuandmete kaitse taset. Isikuandmete kaitse sertifitseerimise mehhanismid aitavad kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse eri sektorite ja töötlemistoimingute laadi.
1a. Vastutav töötleja või volitatud töötleja võib nõuda liidu mis tahes järelevalveasutuselt halduskulusid arvestava mõistliku tasu eest sertifitseerimist, et isikuandmeid töödeldakse kooskõlas käesoleva määrusega, eelkõige kooskõlas artiklis 5, 23 ja 30 sätestatud põhimõtetega, vastutava töötleja või volitatud töötleja kohustustega ja andmesubjekti õigustega.
1b. Sertifitseerimine on vabatahtlik, taskukohane ning ligipääsetav protsessi kaudu, mis on läbipaistev ja ei ole põhjendamatult koormav.
1c. Järelevalveasutused ja Euroopa Andmekaitsenõukogu teevad artikli 57 kohase järjepidevuse mehhanismi alusel koostööd, et tagada ühtlustatud andmekaitsemehhanism, sealhulgas ühtlustatud tasud kogu liidus.
1d. Sertifitseerimismenetluse käigus võivad järelevalveasutused akrediteerida kutselise sõltumatu audiitori viima oma nimel läbi vastutava töötleja või volitatud töötleja auditeerimist. Sõltumatutel audiitoritel on piisavalt kvalifitseeritud töötajad, nad on erapooletud ja nende puhul ei ilmne huvide konflikte seoses nende ülesannetega. Kui on põhjust arvata, et audiitor ei täida oma kohustusi nõuetekohaselt, tühistavad järelevalveasutused tema akrediteeringu. Lõpliku sertifitseerimise korraldab järelevalveasutus.
1e. Järelevalveasutused annavad vastutavatele töötlejatele ja volitatud töötlejatele, kes auditeerimise kohaselt on sertifitseeritud, et nad töötlevad isikuandmeid kooskõlas käesoleva määrusega, ühtlustatud isikuandmete kaitse märgise „Euroopa isikuandmete kaitse pitser”.
1f. Märgis „Euroopa isikuandmete kaitse pitser” kehtib niikaua, kui sertifitseeritud vastutava töötleja või volitatud töötleja andmetöötlemistoimingud on täielikult käesoleva määrusega kooskõlas.
1g. Ilma et see piiraks lõike 1f kohaldamist, kehtib sertifikaat viis aastat.
1h. Euroopa Andmekaitsenõukogu loob avaliku elektroonilise registri, millest üldsus saab vaadata kõiki liikmesriikides välja antud kehtivaid ja kehtetuid sertifikaate.
1i. Euroopa Andmekaitsenõukogu võib omal algatusel sertifitseerida, et andmekaitset tõhustav tehniline standard on käesoleva määrusega kooskõlas.
2. Komisjoni volitatakse vastavalt artiklile 86 võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist ja sidusrühmadega, eelkõige tööstuse ja valitsusväliste organisatsioonidega konsulteerimist vastu delegeeritud õigusakte, et täpsustada lõikes 1lõigetes 1a–1h osutatud isikuandmete kaitse sertifitseerimise mehhanismide, sealhulgas audiitorite akrediteerimise nõudeid ning sertifikaadi andmise ja tühistamise ning liidus ja kolmandates riikides tunnustamise ja edendamise suhtes kohaldatavaid kriteeriume ja nõudeid. Nende delegeeritud õigusaktidega antakse andmesubjektidele kohtulikult kaitstavad õigused.
3. Sertifitseerimismehhanismide ning isikuandmete kaitse pitserite ja märgiste kasutuselevõtu edendamiseks ja tunnustamiseks võib komisjon kehtestada sertifitseerimismehhanismide ning isikuandmete kaitse pitserite ja märgiste tehnilised standardid. Kõnealused rakendusaktid võetakse vastu artikli 88 artiklis 2 osutatud kontrollimenetluse kohaselt. [ME 136]
V PEATÜKK
ISIKUANDMETE EDASTAMINE KOLMANDATELE RIIKIDELE JA RAHVUSVAHELISTELE ORGANISATSIOONIDELE
Artikkel 40
Edastamise üldpõhimõtted
Töödeldavate või pärast kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist töötlemiseks mõeldud isikuandmete edastamine võib toimuda ainult juhul, kui vastutav töötleja ja volitatud töötleja on täitnud kooskõlas käesoleva määruse teiste sätetega käesolevas peatükis sätestatud tingimused, sealhulgas juhul, kui kolmandad riigid või rahvusvahelised organisatsioonid edastavad isikuandmed teistele kolmandatele riikidele või rahvusvahelistele organisatsioonidele.
Artikkel 41
Edastamine piisava kaitse otsuse alusel
1. Edastamine võib toimuda siis, kui komisjon on teinud otsuse, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Sellise edastamise puhul ei ole täiendavatkonkreetset luba vaja.
2. Isikuandmete kaitse piisavuse hindamisel kaalub komisjon järgmisi asjaolusid:
a) õigusriigi põhimõte, nii üldised kui ka konkreetse sektori kehtivad asjaomased õigusaktid, sealhulgas avaliku korra, riigikaitse, riigi julgeoleku ja kriminaalõigusega ning käesoleva õigusakti rakendamisega seotud õigusaktid, kõnealuses riigis või rahvusvahelises organisatsioonis järgitavad ametieeskirjad ja turvameetmed ning kohtupraktikast tulevad nõuded samuti kehtivad ja kohtulikult kaitstavad õigused, sealhulgas andmesubjektide halduslikud ja õiguskaitsevahendid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse;
b) kõnealuses kolmandas riigis või rahvusvahelises organisatsioonis ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine, kes vastutab isikuandmete kaitse eeskirjade järgimise, kaasa arvatud piisavate karistuste kohaldamise õiguste eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liidu ja liikmesriikide järelevalveasutustega tehtava koostöö eest, ning
c) kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused, eelkõige isikuandmete kaitsega seotud õiguslikult siduvad konventsioonid või vahendid.
3. Komisjon võibKomisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et otsustada, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme lõike 2 tähenduses. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega. Selliste delegeeritud õigusaktidega kehtestatakse aegumisklausel, kui nad on seotud isikuandmete töötlemisega, ja need tühistatakse lõike 5 kohaselt juhul, kui käesoleva määruse kohane isikuandmete kaitse piisav tase ei ole enam tagatud.
4. RakendusaktisDelegeeritud õigusaktis määratakse kindlaks selle geograafilineterritoriaalne ja valdkondlik kohaldatavus ning vajaduse korral määratakse kindlaks lõike 2 punktis b nimetatud järelevalveasutus.
4a. Komisjon jälgib korrapäraselt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võivad mõjutada lõikes 2 loetletud elementide saavutamist seoses sellega, milline lõike 3 kohane delegeeritud õigusakt on vastu võetud.
5. Komisjon võib otsustada, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon ei taga isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, eelkõige juhul, kui kolmandas riigis või rahvusvahelises organisatsioonis kehtivate üldiste ja konkreetse sektori asjaomaste õigusaktidega ei tagata kehtivaid ja kohtulikult kaitstavaid õigusi, sealhulgas andmesubjektide halduslikke ja õiguskaitsevahendeid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega või äärmiselt kiireloomulistel juhtudel seoses üksikisiku õigusega isikuandmete kaitsele kooskõlas artikli 87 lõikes 3 osutatud menetlusega.
6. Kui komisjon teeb lõike 5 kohase otsuse, on mis tahes isikuandmete edastamine kolmandale riigile või territooriumile või kõnealuse kolmanda riigi töötlemissektorile või rahvusvahelisele organisatsioonile keelatud, ilma et see piiraks artiklite 42–44 kohaldamist. Komisjon alustab sobival ajal konsultatsioone kolmanda riigi või rahvusvahelise organisatsiooniga, et parandada käesoleva artikli lõike 5 kohasest otsusest tulenevat olukorda.
6a. Enne lõigete 3 või 5 kohase delegeeritud õigusakti vastuvõtmist taotleb komisjon Euroopa Andmekaitsenõukogult arvamust kaitsetaseme piisavuse kohta. Enne lõigete 3 või 5 kohase delegeeritud õigusakti vastuvõtmist taotleb komisjon Euroopa Andmekaitsenõukogult arvamust kaitsetaseme piisavuse kohta.
7. Komisjon avaldab Euroopa Liidu Teatajasja oma veebisaidil loetelu nendest kolmandatest riikidest, territooriumidest ja kolmandate riikide töötlemissektoritest ja rahvusvahelistest organisatsioonidest, mille kohta on tehtud otsus, et isikuandmete kaitse piisav tase ei ole tagatud.
8. Komisjoni otsused, mis on vastu võetud vastavalt direktiivi 95/46/EÜ artikli 25 lõikele 6 või artikli 26 lõikele 4, jäävad jõusse kuni viis aastat pärast käesoleva määruse jõustumist, välja arvatud juhul, kui, kuni komisjon neid enne selle ajavahemiku lõppu muudab, need asendab või need kehtetuks tunnistab. [ME 137]
Artikkel 42
Edastamine asjakohaste kaitsemeetmete abil
1. Kui komisjon ei ole teinud artikli 41 kohast otsust, võibvõi otsustab, et kolmas riik või territoorium või kõnealuse kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon ei taga piisavat andmekaitse taset vastavalt artikli 41 lõikele 5, ei või vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatudüksnes juhul, kui vastutav töötleja või volitatud töötleja on õiguslikult siduvas dokumendis sätestanud isikuandmete kaitseks asjakohased kaitsemeetmed.
2. Lõikes 1 osutatud asjakohased kaitsemeetmed lisatakse eelkõige:
a) siduvatele ettevõtluseeskirjadele vastavalt artiklile 43 või
aa) vastavalt artikli 39 lõikele 1 e vastutava töötleja või volitatud töötleja kehtivale märgisele „Euroopa isikuandmete kaitse pitser” või
b) isikuandmete kaitse standardklauslitele, mille on vastu võtnud komisjon. Kõnealused rakendusaktid võetakse vastu artikli 87 lõikes 2 osutatud kontrollimenetluse kohaselt või
c) isikuandmete kaitse standardklauslitele, mille on vastu võtnud järelevalveasutus vastavalt artiklis 57 osutatud järjepidevuse mehhanismile pärast seda, kui komisjon on need artikli 62 lõike 1 punkti b kohaselt tunnistanud üldkehtivaks või
d) vastutava töötleja või volitatud töötleja ja järelevalveasutuse poolt vastavalt lõikele 4 volitatud andmesaaja vahelistele lepingutingimustele.
3. Lõike 2 punktides a, baa või c osutatud isikuandmete kaitse standardklauslitel, märgisel „Euroopa isikuandmete kaitse pitser” või siduvatel ettevõtluseeskirjadel põhineva edastamise puhul ei ole täiendavatkonkreetset luba vaja.
4. Kui edastamine põhineb käesoleva artikli lõike 2 punktis d osutatud lepingutingimustel, peab vastutav töötleja või volitatud töötleja saama järelevalveasutuselt eelneva loa vastavalt artikli 34 lõike 1 punktile a. Juhul, kui edastamine on seotud töötlemisega, mis puudutab teise liikmesriigi või teiste liikmesriikide andmesubjekte või mis mõjutab märgatavalt isikuandmete vaba liikumist liidu piires, kohaldab järelevalveasutus artiklis 57 osutatud järjepidevuse mehhanismi.
5. Kui õiguslikult siduvas dokumendis ei ole isikuandmete kaitseks sätestatud asjakohaseid kaitsemeetmeid, peab vastutav töötleja või volitatud töötleja saama eelneva loa edastamise või edastamistoimingute kogumi või edastamise aluseks olevasse halduskokkuleppesse lisatavate sätete jaoks. Järelevalveasutus annab sellise loa kooskõlas artikli 34 lõike 1 punktiga a. Juhul kui edastamine on seotud töötlemisega, mis puudutab teise liikmesriigi või teiste liikmesriikide andmesubjekte või mis mõjutab märgatavalt isikuandmete vaba liikumist liidu piires, kohaldab järelevalveasutus artiklis 57 osutatud järjepidevuse mehhanismi. Direktiivi 95/46/EÜ artikli 26 lõike 2 alusel järelevalveasutuse antud load jäävad kehtima, kunikaheks aastaks pärast käesoleva määruse jõustumist, välja arvatud juhul, kui järelevalveasutus neid enne selle ajavahemiku lõppu muudab, need asendab või need kehtetuks tunnistab. [ME 138]
Artikkel 43
Edastamine siduvate ettevõtluseeskirjade alusel
1. Järelevalveasutus kehtestab kooskõlas artiklis 58 osutatud järjepidevuse mehhanismiga siduvad ettevõtluseeskirjad, tingimusel et need:
a) on õiguslikult siduvad ja neid kohaldatakse vastutava töötleja või volitatud töötleja ettevõtjate rühmakontserni iga liikme ja nende väliste alltöövõtjate suhtes, kes kuuluvad siduvate kontsernisiseste eeskirjade reguleerimisalasse, sealhulgas nende töötajate suhtes ning kõik täidavad neid;
b) sõnaselgelt annavad andmesubjektidele kohtulikult kaitstavad õigused;
c) vastavad lõikes 2 sätestatud nõuetele.
1a. Tööhõiveandmete puhul tuleb töötajate esindajaid teavitada artikli 43 kohastest siduvatest kontsernisisestest eeskirjadest ning kaasata neid vastavalt liidu või liikmesriikide õigusele ja tavadele nende väljatöötamisse.
2. Siduvates ettevõtluseeskirjades peab vähemalt olema täpsustatud:
a) ettevõtjate rühmakontserni ja selle liikmete struktuur ja kontaktandmed ning nende välised alltöövõtjad, kes kuuluvad siduvate kontsernisiseste eeskirjade reguleerimisalasse;
b) edastamine või edastamistoimingute kogumid, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektid ning kõnealuse kolmanda riigi või riikide andmed;
c) nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;
d) üldised isikuandmete kaitse põhimõtted, eelkõige eesmärgi piiritlemine, minimaalne andmehulk, piiratud säilitamisaeg, andmete kvaliteet, isikuandmete vaikimisi kaitse ja lõimitud kaitse, töötlemise õiguslik alus, tundlike isikuandmete töötlemine; andmeturbe tagamise meetmed; andmete edasine edastamine organisatsioonidele, kelle suhtes need eeskirjad ei ole siduvad;
e) andmesubjektide õigused ja nende õiguste kasutamise vahendid, kaasa arvatud õigus mitte alluda artikli 20 kohasele profiilianalüüsil põhinevale meetmele, õigus esitada artikli 75 kohane kaebus pädevale järelevalveasutusele ja pädevale kohtule liikmesriigis ning siduvate ettevõtluseeskirjade rikkumise korral taotleda kahju hüvitamist ja vajaduse korral kompensatsiooni;
f) liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate ettevõtluseeskirjade rikkumise korral, kui selle paneb toime ettevõtjate rühma liige, kes ei asu Euroopa Liidus. Vastutava töötleja või volitatud töötleja võib kõnealusest vastutusest täielikult või osaliselt vabastada vaid siis, kui ta tõestab, et liige ei ole kahju tekitamise eest vastutav;
g) kuidas kooskõlas artikliga 11 edastatakse andmesubjektidele siduvate ettevõtluseeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta teavet;
h) kooskõlas artikliga 35 ametisse nimetatud andmekaitseametniku ülesanded, sealhulgas ettevõtjate rühmaskontsernis järelevalve teostamine siduvate ettevõtluseeskirjade täitmise ning samuti koolitamise ja kaebuste käsitlemise üle;
i) ettevõtjate rühmakontserni sisemehhanismid, mille eesmärk on tagada siduvate ettevõtluseeskirjade täitmise kontrollimine;
j) mehhanismid poliitikamuudatuste registreerimiseks ning järelevalveasutuse teavitamiseks nendest muudatustest;
k) mehhanism koostööks järelevalveasutusega, et tagada ettevõtjate rühmakontserni liikme nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks käesoleva lõike punktis i osutatud meetmete kontrollimise tulemused.
3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse siduvate ettevõtluseeskirjade vormingut, menetlusi, tingimusi ja nõudeid käesoleva artikli tähenduses, eelkõige seoses nende heakskiitmise tingimustega, kaasa arvatud läbipaistvus andmesubjektide jaoks, lõike 2 punktide b, d, e ja f kohaldamisega volitatud töötlejate poolt täidetavate siduvate ettevõtluseeskirjade suhtes ja täiendavate nõuetega, et tagada asjaomaste andmesubjektide isikuandmete kaitse.
4. Komisjon võib täpsustada vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid ettevõtluseeskirju käsitleva elektroonilise teabevahetuse vormi ja korra käesoleva artikli tähenduses. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 sätestatud kontrollimenetlusega. [ME 139]
Artikkel 43a
Andmete edastamine või avaldamine juhtudel, kui liidu õigusaktidega ei ole see lubatud
1. Kolmanda riigi kohtu ega haldusasutuse otsust, millega nõutakse vastutavalt töötlejalt või volitatud töötlejalt isikuandmete avaldamist, ei tunnustata ja seda ei ole võimalik mis tahes viisil täitmisele pöörata, mis ei piira nõude esitanud kolmanda riigi ja liidu või liikmesriigi vahel kehtiva vastastikuse õigusliku abistamise lepingu või rahvusvahelise lepingu kohaldamist.
2. Kui kolmanda riigi kohtu otsuses või kolmanda riigi haldusasutuse otsuses nõutakse, et vastutav töötleja või volitatud töötleja avaldaks isikuandmeid, teavitab vastutav või volitatud töötleja, ja kui, siis vastutava töötleja esindaja pädevat järelevalveasutust taotlusest põhjendamatu viivituseta ja peab saama järelevalveasutuselt eelneva loa andmete edastamiseks või avaldamiseks.
3. Järelevalveasutus hindab nõutud avaldamise vastavust käesolevale määrusele ja eelkõige seda, kas avaldamine on vastavalt artikli 44 lõike 1 punktidele d ja e ning artikli 44 lõikele 5 vajalik ja õiguslikult nõutav. Kui see mõjutab teiste liikmesriikide andmesubjekte, kohaldab järelevalveasutus artiklis 57 osutatud järjepidevuse mehhanismi.
4. Järelevalveasutus teavitab taotlusest pädevat riigiasutust. Ilma et see piiraks artikli 21 kohaldamist, teavitab vastutav töötleja või volitatud töötleja järelevalveasutuse taotlusel ja loal andmesubjekti ning vajaduse korral teavitab andmesubjekti sellest, kas viimase järjestikuse 12-kuulise ajavahemiku jooksul edastati isikuandmed avaliku sektori asutusele vastavalt artikli 14 lõike 1 punktile ha. [ME 140]
Artikkel 44
Erandid
1. Artikli 41 kohase piisava kaitse otsuse või artikli 42 kohaste asjaomaste kaitsemeetmete puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmeid edastada ainult tingimusel, et:
a) andmesubjekt on edastamiseks andnud nõusoleku pärast seda, kui teda teavitati sellise edastamise riskidest, mis tulenevad piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest, või
b) edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks või
c) edastamine on vajalik vastutava töötleja või muu füüsilise või juriidilise isiku vahelise lepingu sõlmimiseks andmesubjekti huvides või selle täitmiseks või
d) edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel või
e) edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või
f) edastamine on vajalik selleks, et kaitsta andmesubjekti või teise isiku olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma, või
g) edastamine tehakse registrist, mis liidu või liikmesriigi õigusaktide kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud laiemale avalikkusele või kõigile õigustatud huviga isikutele, kuivõrd konkreetsel juhul täidetakse tutvumist käsitlevaid tingimusi, mis liidu või liikmesriigi õigusaktidega on ette nähtud, või
h) edastamine on vajalik, et kaitsta vastutava töötleja või volitatud töötleja õigustatud huvi, mida esineb harva ja mis ei ole mahukas, ning siis kui vastutav töötleja või volitatud töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ning sellele hinnangule tuginedes on seoses isikuandmete kaitsega vajaduse korral lisanud asjakohased kaitsemeetmed.
2. Lõike 1 punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid või isikuandmete täielikke kategooriaid. Kui register on mõeldud õigustatud huviga isikutele tutvumiseks, toimub edastamine vaid nende isikute taotluse korral või kui nemad ise on andmete vastuvõtjad.
3. Kui andmete töötlemine põhineb lõike 1 punktil h, peab vastutav töötleja või volitatud töötleja pöörama erilist tähelepanu andmete laadile, kavandatud töötlemistoimingu või töötlemistoimingute eesmärgile ja kestusele ning samuti olukorrale andmete päritoluriigis, kolmandas riigis ja lõplikus sihtriigis ning vajaduse korral seoses isikuandmete kaitsega lisatud asjaomastele kaitsemeetmetele.
4. Lõike 1 punkte b, ja c h ei kohaldata avalikku võimu teostavate riigiasutusteavaliku sektori asutuste suhtes.
5. Lõike 1 punktis d osutatud avalik huvi peab olema tunnustatud liidu õigusaktides või liikmesriigi õiguses, mida vastutava töötaja suhtes kohaldatakse.
6. Vastutav töötleja või volitatud töötleja registreerivad hindamise ja ka käesoleva artikli lõike 1 punktis h osutatud asjakohased lisatud kaitsemeetmed artiklis 28 osutatud dokumentides ning teavitavad edastamisest järelevalveasutust.
7. Komisjoni volitatakse Vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse lõike 1 punktis d osutatud avalikust huvist tulenevaid kaalukaid põhjuseid ning samuti lõike 1 punktis h osutatud asjakohaste kaitsemeetmete artiklile 66 usaldatakse Euroopa Andmekaitsenõukogule artikli 66 lõike 1 punktile b kohaste suuniste, soovituste ja parimate tavade avaldamine, et täpsustada lõikel 1 põhineva andmeedastuse kriteeriume ja tingimusi nõudeid. [ME 141]
Artikkel 45
Isikuandmete kaitseks tehtav rahvusvaheline koostöö
1. Komisjon ja järelevalveasutused võtavad kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes asjakohaseid meetmeid eesmärgiga:
a) töötada välja tõhusad rahvusvahelised koostöömehhanismid, et hõlbustadatagada isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisttäitmine; [ME 142]
b) osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamise, kaebuste suunamise, uurimistegevuse ja teabevahetuse abil, mille suhtes kohaldatakse asjaomaseid isikuandmete kaitsemeetmeid ja teisi põhiõigusi ning -vabadusi;
c) kaasata asjaomaseid sidusrühmi arutellu ja tegevusse, mis on suunatud rahvusvahelise koostöö edendamisele isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;
d) edendada isikuandmete kaitset käsitlevate õigusaktide vahetamist ja sellealast dokumenteerimist ning asjaomaseid praktikaid;
da) kolmandate riikidega kohtualluvuse osas valitsevate lahkarvamuste selgitamine ja selleteemaline nõustamine. [ME 143]
2. Lõike 1 kohaldamisel võtab komisjon asjakohaseid meetmeid, et arendada suhteid kolmandate riikide või rahvusvaheliste organisatsioonidega, eelkõige nende järelevalveasutustega, kui komisjon on teinud otsuse, et nad tagavad piisava kaitstuse taseme artikli 41 lõike 3 tähenduses.
Artikkel 45a
Komisjoni aruanne
Komisjon esitab Euroopa Parlamendile ja nõukogule korrapäraste ajavahemike järel artiklite 40–45 kohaldamist käsitleva aruande, alustades sellega hiljemalt neli aastat pärast artikli 91 lõikes 1 viidatud kuupäeva. Selleks võib komisjon taotleda liikmesriikidelt ja järelevalveasutustelt teavet, mis antakse talle põhjendamatu viivituseta. Aruanne tehakse üldsusele kättesaadavaks. [ME 144]
VI PEATÜKK
SÕLTUMATUD JÄRELEVALVEASUTUSED
1. jagu
SÕLTUMATUS
Artikkel 46
Järelevalveasutus
1. Iga liikmesriik näeb ette ühe või mitu avaliku sektori asutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest ja osalevad selle järjepideval kohaldamisel kogu liidus, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ja hõlbustada isikuandmete vaba liikumist kogu liidus. Selleks teevad järelevalveasutused omavahel ja komisjoniga koostööd.
2. Kui liikmesriigis on rohkem kui üks järelevalveasutus, määrab liikmesriik nendest ühe järelevalveasutuse kontaktasutuseks, et kõik asutused saaksid tulemuslikult osaleda Euroopa Andmekaitsenõukogus, ja näeb ette mehhanismi, millega tagada, et teised asutused täidavad artiklis 57 osutatud järjepidevuse mehhanismiga seotud eeskirju.
3. Iga liikmesriik teavitab komisjoni käesoleva peatüki alusel vastuvõetavatest õigusnormidest hiljemalt artikli 91 lõikes 2 märgitud kuupäevaks ja annab viivitamata teada nende edaspidistest muudatustest.
Artikkel 47
Sõltumatus
1. Järelevalveasutus tegutseb oma kohustuste täitmisel ja talle usaldatud volituste kasutamisel täiesti sõltumatult ja erapooletult, olenemata käesoleva määruse VII peatüki koostöö- ja järjepidevustegevusest. [ME 145]
2. Järelevalveasutuse liikmed ei küsi ega võta oma kohustuste täitmisel juhiseid mitte kelleltki.
3. Järelevalveasutuse liikmed hoiduvad oma kohustustega sobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul tasustataval või mittetasustataval ametikohal.
4. Järelevalveasutuse liikmed käituvad pärast oma ametiaja lõppu ametikohti ja soodustusi vastu võttes väärikalt ning diskreetselt.
5. Iga liikmesriik tagab, et järelevalveasutusel oleks piisavalt personali, tehnilisi ja rahalisi vahendeid ning ruumid ja taristu kohustuste ja volituste tõhusaks täitmiseks, sealhulgas need kohustused, mis tuleb täita vastastikuse abi ja koostöö kontekstis ning Euroopa Andmekaitsenõukogu töös osalemisel.
6. Iga liikmesriik tagab, et järelevalveasutusel on oma personal, kelle nimetab ametisse järelevalveasutuse juht, kellele personal allub.
7. Liikmesriigid tagavad, et järelevalveasutuse üle teostatakse sellist finantskontrolli, mis ei mõjuta asutuse sõltumatust. Liikmesriigid tagavad, et järelevalveasutustel on eraldi aastaeelarve. Eelarved avalikustatakse.
7a. Eelarvekontrolliga seotud põhjustel tagab iga liikmesriik, et järelevalveasutus annab aru riigi parlamendile. [ME 146]
1. Liikmesriigid näevad ette, et järelevalveasutuse liikmed nimetab ametisse kas asjaomase liikmesriigi parlament või valitsus.
2. Liikmed valitakse isikute hulgast, kelle sõltumatus on väljaspool kahtlust ning kellel on kohustuste täitmiseks vajalik tõendatud kogemus ja oskused, eelkõige isikuandmete kaitse valdkonnas.
3. Liikme kohustused lõpevad ametiaja lõppedes või ametist lahkumise või tagandamise korral kooskõlas artikliga 5.
4. Liikmesriigi pädev kohus võib liikme ametist vabastada või jätta ilma õigusest saada pensioni või muid seda asendavaid soodustusi, kui liige ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele või kui ta on süüdi raskes üleastumises.
5. Kui ametiaeg lõpeb või liige lahkub ametist, täidab ta kohustusi edasi kuni uue liikme ametisse nimetamiseni.
Artikkel 49
Järelevalveasutuse loomise eeskirjad
Iga liikmesriik näeb käesoleva määruse raames õigusaktidega ette järgmise:
a) järelevalveasutuse loomine ja staatus;
b) järelevalveasutuse liikmete kohustuste täitmiseks vajalik kvalifikatsioon, kogemus ja oskused;
c) järelevalveasutuse liikme ametisse nimetamise eeskirjad ja kord ning samuti kohustustega sobimatuid tegevusi ja ametikohti käsitlevad eeskirjad;
d) järelevalveasutuse liikmete vähemalt nelja aasta pikkune ametiaeg, välja arvatud esimest korda ametisse nimetamisel pärast käesoleva määruse jõustumist, kui osa liikmete ametiaeg võib kesta lühemat aega, kui järkjärgulise ametisse nimetamise abil on see vajalik järelevalveasutuse sõltumatuse kaitsmiseks;
(e) asjaolu, kas järelevalveasutuse liikmeid saab ametisse uuesti tagasi nimetada;
f) järelevalveasutuse liikmete ja personali kohustusi reguleerivad eeskirjad ja üldtingimused;
g) järelevalveasutuse liikmete kohustuste lõpetamise eeskirjad ja kord, sealhulgas juhul, kui liikmed ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele või kui nad on süüdi raskes üleastumises.
Artikkel 50
Ametisaladus
Järelevalveasutuse liikmed on kohustatud nii ametiajal kui ka pärast ametist lahkumist vastavalt riigisisestele õigusaktidele ja tavadele hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis neile ametikohustuste täitmisel on teatavaks saanud, täites oma kohustusi sõltumatult ja läbipaistvalt, nagu on sätestatud määruses. [ME 147]
2.JAGU
KOHUSTUSED JA VOLITUSED
Artikkel 51
Pädevus
1. Iga järelevalveasutus kasutabon pädev täitma oma kohustusi ja kasutama talle käesoleva määrusega oma liikmesriigi territooriumil talle käesoleva määrusega antud volitusi, ilma et see piiraks artikli 73 ja 74 kohaldamist. Avaliku sektori asutuses toimuva andmetöötluse üle teostab järelevalvet ainult selle liikmesriigi järelevalveasutus. [ME 148]
2. Kui isikuandmete töötlemine toimub liidus asuva vastutava töötleja või volitatud töötleja tegevuse käigus ning vastutav töötleja või volitatud töötleja omab tegevuskohta mitmes liikmesriigis, on vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus pädev korraldama järelevalvet vastutava töötleja või volitatud töötleja töötlemistoimingute üle kõikides liikmesriikides, ilma et see piiraks käesoleva määruse VII peatüki kohaldamist. [ME 149]
3. Järelevalveasutus ole pädev korraldama järelevalvet õigusliku pädevuse piires tegutsevate kohtute töötlemistegevuse üle.
Artikkel 52
Kohustused
1. Järelevalveasutus:
a) jälgib ja tagab, et käesolevat määrust kohaldatakse;
b) vaatab läbi andmesubjekti või teda esindava ühenduse artikli 73 kohaselt esitatud kaebused, uurib juhtumit vajalikul määral ning teavitab mõistliku aja jooksul andmesubjekti või ühendust kaebuse arutamise arengust ja tulemusest, eelkõige juhul, kui osutub vajalikuks täiendav uurimine või koordineerimine teise järelevalveasutusega; [ME 150]
c) jagab teavet teiste järelevalveasutustega ja osutab neile abi ning tagab käesoleva määruse ühetaolise kohaldamise ja täitmise;
d) korraldab omal algatusel või kaebuse või konkreetsete ja dokumenteeritud teabe saamisel väidetava ebaseadusliku töötlemise kohta või teise järelevalveasutuse taotluse alusel uurimisi ning kui andmesubjekt on esitanud kaebuse nimetatud järelevalveasutusele, teavitab teda uurimise tulemusest mõistliku aja jooksul; [ME 151]
e) jälgib isikuandmete kaitsmise valdkonnas toimuvaid muudatusi, eelkõige info- ja sidetehnoloogia ja kaubandustavade arengut;
f) osaleb aruteludes liikmesriikide asutuste ja organitega nende õiguslike ja haldusmeetmete üle, mis käsitlevad üksikisikute õiguste ja vabaduste kaitset seoses isikuandmete töötlemisega;
g) osaleb artiklis 34 osutatud töötlemisoperatsioone puudutavates aruteludes;
h) esitab arvamuse artikli 38 lõike 2 kohase toimimisjuhendi kavandi kohta;
i) kiidab heaks artikli 43 kohased siduvad ettevõtluseeskirjad;
j) osaleb Euroopa Andmekaitsenõukogu tegevuses.
ja) sertifitseerib artikli 39 kohaselt vastutavaid töötlejaid ja volitatud töötlejaid. [ME 152]
2. Iga järelevalveasutus suurendab üldsuse teadlikkust isikuandmete töötlemisel esinevatest ohtudest, töötlemise eeskirjadest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest ning asjakohastest isikuandmete kaitse meetmetest. Lastele suunatud tegevusele pööratakse eraldi tähelepanu. [ME 153]
2a. Iga järelevalveasutus suurendab koos Euroopa Andmekaitsenõukoguga vastutavate töötlejate ja volitatud töötlejate teadlikkust isikuandmete töötlemisel esinevatest ohtudest, töötlemise eeskirjadest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. See hõlmab sanktsioonide ja rikkumiste registri pidamist. Registris tuleb kõik hoiatused ja sanktsioonid registreerida võimalikult üksikasjalikult ning esitada andmed rikkumiste lahendamise kohta. Kõik järelevalveasutused esitavad mikro-, väikestest ja keskmise suurusega ettevõtjatest vastutavatele töötlejatele ja volitatud töötlejatele nende taotluse korral üldist teavet nende ülesannete ja kohustuste kohta käesoleva määruse kohaselt. [ME 154]
3. Järelevalveasutus annab andmesubjektile tema taotluse korral nõu käesolevast määrusest tulenevate õiguste kasutamisel ja teeb vajaduse korral sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega.
4. Lõike 1 punktis b osutatud kaebuste jaoks koostab järelevalveasutus kaebuste esitamise elektrooniliselt täidetava vormi, ilma teiste sidevahendite kasutamist välistamata.
5. Järelevalveasutus ei võta oma kohustuste täitmise eest andmesubjektilt tasu.
6. Kui taotlused on selgelt põhjendamatud, eelkõige kuna neid esitatakse korduvalt, võib vastutav töötleja võtta taotletud teabe andmise ja toimingute tegemise eest mõistliku tasu või jätta toimingud tegemata. See tasu ei tohi ületada taotletud toimingu läbiviimise kulu. Järelevalveasutusel lasub kohustus tõendada, et taotlus on selgelt põhjendamatu. [ME 155]
Artikkel 53
Volitused
1. Igal järelevalveasutusel on kooskõlas käesoleva määrusega õigus:
a) teavitada vastutavat töötlejat või volitatud töötlejat isikuandmete töötlemist reguleerivate sätete väidetavast rikkumisest ja vajaduse korral käskida vastutaval töötlejal või volitatud töötlejal rikkumine kindlal viisil kõrvaldada, et parandada andmesubjekti kaitset või käskida vastutaval töötlejal teavitada andmesubjekti tema isikuandmetega seotud rikkumisest;
b) anda käsk vastutaval töötlejal või volitatud töötlejal rahuldada andmesubjekti taotlused seoses käesolevas määruses sätestatud õiguste kasutamisega;
c) anda käsk vastutavale töötlejale või volitatud töötlejale või vajaduse korral tema esindajale anda teavet oma kohustuste täitmise kohta;
d) tagada, et täidetakse artiklis 34 osutatud eelnevate lubade ja eelnevate konsultatsioonide tingimus;
e) hoiatada vastutavat töötlejat või volitatud töötlejat või teha talle märkus;
f) anda käsk kõik andmed parandada, sulgeda, kustutada või hävitada, kui neid on töödeldud käesoleva määruse sätteid rikkudes, ning teavitada nimetatud meetmetest kolmandaid isikuid, kelle andmed on avaldatud;
g) kehtestada ajutine või tähtajatu töötlemiskeeld;
h) peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog;
i) esitada arvamusi küsimustes, mis on seotud isikuandmete kaitsega;
ia) sertifitseerida vastutavaid töötlejaid ja volitatud töötlejaid vastavalt artiklile 39;
j) teavitada liikmesriikide parlamente, valitsusi või muid institutsioone ja avalikkust isikuandmete kaitsega seotud küsimustest;
ja) kehtestada tulemuslik mehhanism konfidentsiaalseks teatamiseks käesoleva määruse rikkumistest, võttes arvesse Euroopa Andmekaitsenõukogu poolt artikli 66 lõike 4b kohaselt väljastatud suunist.
2. Igal järelevalveasutusel on uurimisvolitused, et saada vastutavalt töötlejalt või volitatud töötlejalt juurdepääsilma eelneva teavitamiseta:
a) kõikidele isikuandmetele ja dokumentidele ning kogu teabele, mis on vajalik tema kohustuste täitmiseks;
b) tööruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja vahenditele, kui on piisavalt põhjust arvata, et seal toimub käesoleva määruse vastane tegevus.
Punktis b osutatud õigusi kasutatakse kooskõlas ELi ja liikmesriigi õigusega.
3. Igal järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumisele ja osaleda kohtumenetluses, eelkõige vastavalt artikli 74 lõikele 4 ja artikli 75 lõikele 2.
4. Igal järelevalveasutusel on õigus haldusõigusrikkumise korral kohaldada sanktsioone kooskõlas artikliga 79. Seda õigust kasutatakse tõhusal, eelkõige artikli 79 lõikes 4, 5 ja 6 osutatud rikkumiste puhul proportsionaalsel ja hoiataval viisil. [ME 156]
Artikkel 54
Tegevusaruanne
Iga järelevalveasutus peab koostama oma tegevuse kohta aastaaruande aruande vähemalt iga kahe aasta järel. Aruanne esitatakse riigivastavale parlamendile ning tehakse kättesaadavaks avalikkusele, komisjonile ja Euroopa Andmekaitsenõukogule. [ME 157]
Artikkel 54a
Juhtiv asutus
1. Kui isikuandmete töötlemine toimub liidus asuva vastutava töötleja või volitatud töötleja tegevuse käigus ning vastutav töötleja või volitatud töötleja omab tegevuskohta mitmes liikmesriigis, või kui töödeldakse mitme liikmesriigi elanike isikuandmeid, tegutseb vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus käesoleva määruse VII peatüki sätete kohaselt vastutava töötleja või volitatud töötleja töötlemistoimingute järelevalve eest vastutava juhtiva asutusena kõikides liikmesriikides.
2. Juhtiv järelevalveasutus võtab asjakohased meetmed tema vastutusalas olevate vastutava töötleja või volitatud töötleja töötlemistoimingute üle järelevalve teostamiseks alles pärast konsulteerimist kõikide muude pädevate järelevalveasutustega artikli 51 lõike 1 tähenduses, et jõuda üksmeelele. Sel põhjusel esitab ta eelkõige kogu asjakohase teabe ja konsulteerib teiste asutustega enne seda, kui ta võtab vastu meetme, mille eesmärk on tekitada õiguslikke tagajärgi vastutavale töötlejale või volitatud töötlejale artikli 51 lõike 1 tähenduses. Juhtiv asutus võtab täiel määral arvesse asjaomaste asutuste arvamusi. Juhtiv asutus ainus asutus, kellel on õigus otsustada võtta meetmeid, mille eesmärk on luua õiguslikke tagajärgi seoses sellise vastutava töötleja või volitatud töötleja töötlemistoimingutega, kelle eest ta on vastutav.
3. Euroopa Andmekaitsenõukogu esitab pädeva järelevalveasutuse taotluse korral arvamuse vastutava töötleja või volitatud töötleja eest vastutava juhtiva asutuse kindlakstegemiseks juhul, kui
a) juhtumi asjaolude põhjal on vastutava või volitatud töötleja põhitegevuskoht ebaselge; või
b) pädevad asutused ei suuda jõuda kokkuleppele, milline järelevalveasutus hakkab täitma juhtiva asutuse rolli; või
c) vastutav töötleja asub väljaspool ELi, aga eri liikmesriikide elanikke mõjutavad käesoleva määruse reguleerimisalasse kuuluvad töötlemistoimingud.
3a. Kui vastutav töötleja viib läbi ka toiminguid volitatud töötlejana, on vastutava töötleja peamise tegevuskoha järelevalveasutus töötlemistoimingute järelevalve juhtiv asutus.
4. Euroopa Andmekaitsenõukogu võib teha otsuse juhtiva asutuse kindlaksmääramiseks. [ME 158]
VII PEATÜKK
KOOSTÖÖ JA JÄRJEPIDEVUS
1.JAGU
KOOSTÖÖ
Artikkel 55
Vastastikune abi
1. Järelevalveasutused annavad üksteisele teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks eelneva loa ja eelneva konsulteerimise taotlusi, kontrolle ja uurimisi ning kiireteabe edastamist juhtumite alustamise ning nende käigu kohta, kui vastutaval töötlejal või volitatud töötlejal on tegevuskoht mitmes liikmesriigis või kui töötlemistoimingud mõjutavad tõenäoliselt andmesubjekte mitmes liikmesriigis. Artiklis 54a määratletud juhtiv asutus tagab kooskõlastatuse asjakohaste järelevalveasutustega ja tegutseb vastutava töötleja või volitatud töötleja ühtse kontaktpunktina. [ME 159]
2. Iga järelevalveasutus võtab kõik nõuetekohased meetmed, et vastata teisele järelevalveasutusele viivitamata ja mitte hiljem kui üks kuu pärast taotluse saamist. Need meetmed võivad eelkõige hõlmata asjaomase teabe edastamist uurimise käigu kohta või täitemeetmeid, et katkestada või keelata käesoleva määruse vastased töötlemistoimingud.
3. Abitaotlus sisaldab kogu vajalikku teavet, sealhulgas taotluse eesmärki ja põhjuseid. Kõnealust teavet kasutatakse üksnes sel eesmärgil, milleks seda taotleti.
4. Järelevalveasutus, kellele abitaotlus on adresseeritud, ei või keelduda, välja arvatud juhul, kui:
a) asutus ei ole taotluse täitmiseks pädev või
b) taotluse täitmine oleks vastuolus käesoleva määrusega.
5. Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või vajaduse korral asjade käigust või meetmetest, mis võetakse esitatud taotluse rahuldamiseks.
6. Järelevalveasutused esitavad teiste järelevalveasutuste taotletud teabe elektrooniliste sidevahendite abil ja võimalikult kiiresti, kasutades selleks tüüpvormi.
7. Taotluse esitanud järelevalveasutuselt vastastikuse abi taotluse alusel võetud meetmete eest tasu ei nõuta. [ME 160]
8. Kui järelevalveasutus ei tegutse ühe kuu jooksul pärast teiselt järelevalveasutuselt taotluse saamist, on taotluse esitanud järelevalveasutusel õigus võtta oma liikmesriigi territooriumil ajutine meede kooskõlas artikli 51 lõikega 1 ning esitada asi Euroopa Andmekaitsenõukogule artiklis 57 osutatud korras. Taotluse esitanud järelevalveasutus võib võtta artikli 53 kohaseid ajutisi meetmeid oma liikmesriigi territooriumil, kui veel lõpetamata abistamise alusel ei saa võtta lõplikke meetmeid. [ME 161]
9. Järelevalveasutus määrab kindlaks sellise ajutise meetme kehtivusaja. Nimetatud ajavahemik ei tohi olla pikem kui kolm kuud. Järelevalveasutus edastab viivitamata kõnealused meetmed koos kõikide põhjendustega Euroopa Andmekaitsenõukogule ja komisjonile kooskõlas artiklis 57 osutatud menetlusega. [ME 162]
10. KomisjonEuroopa Andmekaitsenõukogu võib täpsemalt kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra, eelkõige lõikes 6 osutatud tüüpvormi. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega. [ME 163]
Artikkel 56
Järelevalveasutuste ühisoperatsioonid
1. Koostöö ja vastastikuse abistamise tugevdamiseks lahendavad järelevalveasutused ühiseid uurimisülesandeid, võtavad ühiseid täitemeetmed ja korraldavad muid ühisoperatsioone, milles osalevad teiste liikmesriikide järelevalveasutuste määratud liikmed või töötajad.
2. Juhul kui vastutaval töötlejal või volitatud töötlejal on tegevuskoht mitmes liikmesriigis või töötlemistoimingud võivad tõenäoliselt mõjutada andmesubjekte mitmes liikmesriigis, on iga kõnealuse liikmesriigi järelevalveasutusel õigus osaleda vastavalt vajadusele ühisülesannetes või -operatsioonides. Pädev järelevalveasutusArtiklis 54a määratletud juhtiv asutus kaasab esitab iga kõnealuse liikmesriigi järelevalveasutusele kutse osaledajärelevalveasutuse asjaomases ühisülesandes või -operatsioonisühisülesandesse või -operatsiooni ja vastab viivitamata järelevalveasutuse taotlusele operatsioonides osaleda. Juhtiv asutus tegutseb vastutava töötleja või volitatud töötleja ühtse kontaktpunktina. [ME 164]
3. Iga järelevalveasutus võib vastuvõtva järelevalveasutusena kooskõlas oma siseriikliku õigusega ning lähetava liikmesriigi nõusolekul anda ühisoperatsioonidesse kaasatud lähetava järelevalveasutuse liikmetele või personalile õiguse teostada täidesaatvat võimu, sealhulgas lahendada uurimisülesandeid, või asukoha järelevalveasutuse seadusega ettenähtud ulatuses lubada lähetava järelevalveameti liikmetel või töötajatel kasutada oma täidesaatvaid volitusi kooskõlas lähetava järelevalveameti õigusega. Seda täidesaatvat võimu võib teostada ainult vastuvõtva järelevalveasutuse juhendamisel ning reeglina selle asutuse liikmete või personali juuresolekul. Lähetava järelevalveasutuse liikmete või personali suhtes kohaldatakse vastuvõtva järelevalveasutuse siseriiklikku õigust. Vastuvõttev järelevalveasutus vastutab nende tegevuste eest.
5. Juhul kui järelevalveasutus ei täida ühe kuu jooksul lõikes 2 nimetatud kohustust, on teisel järelevalveasutusel õigus võtta ajutine meede oma liikmesriigi territooriumil vastavalt artikli 51 lõikele 1.
6. Järelevalveasutus täpsustab lõikes 5 osutatud ajutise meetme kehtivusaja. Nimetatud ajavahemik ei tohi olla pikem kui kolm kuud. Järelevalveasutus edastab viivitamata kõnealused meetmed koos kõikide põhjendustega Euroopa Andmekaitsenõukogule ja komisjonile ning menetleb küsimust artiklis 57 osutatud mehhanismi abil.
2.JAGU
JÄRJEPIDEVUS
Artikkel 57
Järjepidevuse mehhanism
Artikli 46 lõikes 1 sätestatud eesmärgil teevad järelevalveasutused üksteisega ja komisjoniga koostööd käesolevas jaotises sätestatud järjepidevuse mehhanismi abil nii üldise ulatusega küsimustes kui ka üksikjuhtudel kooskõlas käesoleva jaotise sätetega. [ME 165]
Artikkel 58
Euroopa Andmekaitsenõukogu arvamus Üldkohaldavate küsimuste järjepidevus
1. Enne kui järelevalveasutus võtab vastu lõikes 2 osutatud meetme, edastab ta meetme eelnõu Euroopa Andmekaitsenõukogule ja komisjonile.
2. Lõikes 1 sätestatud kohustust kohaldatakse meetme suhtes, mille eesmärk on tekitada õiguslikke tagajärgi ning mis:
a) on seotud töötlemistoimingutega, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele mitmes liikmesriigis või nende käitumise jälgimisega, või
b) võib oluliselt mõjutada isikuandmete vaba liikumist Euroopa Liidus või
c) on suunatud sellise töötlemistoimingute loetelu vastuvõtmisele, mille puhul kohaldatakse eelnevat konsulteerimist vastavalt artikli 34 lõikele 5, või
d) on suunatud artikli 42 lõike 2 punktis c osutatud isikuandmete kaitse standardklauslite kindlaksmääramisele või
e) on suunatud artikli 42 lõike 2 punktis d osutatud lepingutingimuste kinnitamisele või
f) on suunatud siduvate ettevõtluseeskirjade heakskiitmisele artikli 43 tähenduses.
3. Mis tahes järelevalveasutus või Euroopa Andmekaitsenõukogu võib nõuda iga üldkohaldatava küsimuse käsitlemist järjepidevuse mehhanismi abil, eelkõige juhul, kui järelevalveasutus ei esita lõikes 2 osutatud meetme eelnõu või ei täida vastastikuse abi kohustust vastavalt artiklile 55 või ühisoperatsioonide kohustust vastavalt artiklile 56.
4. Määruse nõuetekohase ja järjepideva kohaldamise tagamiseks võib komisjon nõuda mis tahes üldkohaldatava küsimuse käsitlemist järjepidevuse mehhanismi abil.
5. Järelevalveasutused ja komisjon edastavad põhjendamatu viivituseta elektrooniliselt tüüpvormi abil kogu asjakohase teabe, sealhulgas asjaolude kokkuvõtte, meetme eelnõu ja nimetatud meetme võtmise põhjused.
6. Euroopa Andmekaitsenõukogu eesistuja teavitab viivitamatapõhjendamatu viivituseta elektrooniliselt Euroopa Andmekaitsenõukogu liikmeid ja komisjoni talle edastatud asjakohasest teabest, kasutades selleks tüüpvormi. Euroopa Andmekaitsenõukogu sekretariaat eesistuja korraldab vajaduse korral asjaomase teabe tõlkimise.
6a. Euroopa Andmekaitsenõukogu võtab vastu arvamuse lõikes 2 osutatud küsimuste kohta.
7. Euroopa Andmekaitsenõukogu esitab küsimusevõib otsustada lihthäälteenamusega otsuse vastuvõtmise lõigete 3 ja 4 kohaselt esitatud küsimuste kohta, võttes arvesse järgmist:oma arvamuse ühe nädala jooksul pärast lõike 5 kohase teabe saamist, kui komitee teeb sellekohase otsuse liikmete lihthäälteenamuse alusel või kui mis tahes järelevalveasutus või komisjon esitab selleks taotluse. Arvamus võetakse vastu ühe kuu jooksul Euroopa Andmekaitsenõukogu liikmete lihthäälteenamuse alusel. Euroopa Andmekaitsenõukogu eesistuja teavitab arvamusest viivitamata lõigetes 1 ja 3 osutatud järelevalveasutust, komisjoni ja artikli 51 alusel pädevat järelevalveasutust ning avalikustab arvamuse.
a) kas küsimus puudutab uusi elemente, mille puhul tuleks arvesse võtta õiguslikke või tegelikke arenguid, eelkõige infotehnoloogiat, ning pidada silmas infoühiskonna arengu hetkeseisu, ning
b) kas Euroopa Andmekaitsenõukogu on koostanud juba arvamuse sama küsimuse kohta.
8. Lõikes 1 osutatud järelevalveasutus ja artikli 51 alusel pädev järelevalveasutus arvestavad Euroopa Andmekaitsenõukogu arvamusega ja kahe nädala jooksul pärast Euroopa Andmekaitsenõukogu eesistujalt arvamuse kohta saadud teavet annavad elektrooniliselt tüüpvormi kasutades Euroopa Andmekaitsenõukogu eesistujale ja komisjonile teada, kas jäädakse meetme eelnõu juurde või seda muudetakse ning edastavad vajaduse korral meetme muudetud eelnõu võtab lõigete 6 a ja 7 kohased arvamused vastu oma liikmete lihthäälteenamuse alusel. Need arvamused avalikustatakse. [ME 166]
Artikkel 58a
Järjepidevus üksikjuhtudel
1. Enne sellise meetme vastuvõtmist, mille eesmärk on tekitada õiguslikke tagajärgi artikli 54a tähenduses, jagab juhtiv asutus teiste pädevate asutustega kogu asjakohast teavet ja esitab neile meetme eelnõu. Juhtiv asutus ei võta meedet vastu, kui pädev asutus on kolme nädala jooksul esitanud meetme võtmise suhtes tugeva vastuväite.
2. Kui pädev asutus on esitanud juhtiva asutuse meetme eelnõu suhtes tugeva vastuväite või kui juhtiv asutus ei esita lõikes 1 osutatud meetme eelnõu või ei järgi vastastikuse abi kohustust vastavalt artiklile 55 või ühisoperatsioonide kohustust vastavalt artiklile 56, käsitleb küsimust Euroopa Andmekaitsenõukogu.
3. Juhtiv asutus ja/või muu kaasatud pädev asutus ja komisjon edastavad põhjendamatu viivituseta Euroopa Andmekaitsenõukogule elektrooniliselt tüüpvormi abil kogu asjakohase teabe, sealhulgas juhtumiga seotud asjaolude kokkuvõtte, meetme eelnõu ja nimetatud meetme võtmise põhjused, meetme võtmise suhtes esitatud vastuväited ning muude asjaomaste järelevalveasutuste seisukohad.
4. Euroopa Andmekaitsenõukogu kaalub küsimust, võttes arvesse juhtiva asutuse meetme eelnõu mõju andmesubjekti põhiõigustele ja -vabadustele ning teeb otsuse arvamuse koostamise kohta oma liikmete lihthäälteenamuse alusel kahe nädala jooksul pärast lõike 3 kohase asjakohase teabe esitamist.
5. Juhul kui Euroopa Andmekaitsenõukogu otsustab arvamuse koostada, teeb ta seda kuue nädala jooksul ning avalikustab arvamuse.
6. Juhtiv asutus võtab täiel määral arvesse Euroopa Andmekaitsenõukogu arvamust ja kahe nädala jooksul pärast Euroopa Andmekaitsenõukogu eesistujalt arvamuse kohta teabe saamist annab elektrooniliselt tüüpvormi kasutades Euroopa Andmekaitsenõukogu eesistujale ja komisjonile teada, kas ta jääb meetme eelnõu juurde või muudab seda ning edastab vajaduse korral meetme muudetud eelnõu. Kui juhtiv asutus ei kavatse järgida Euroopa Andmekaitsenõukogu arvamust, esitab ta selle kohta põhjenduse.
7. Kui Euroopa Andmekaitsenõukogu esitab endiselt lõike 5 kohaselt järelevalveasutuse meetme suhtes vastuväite, võib ta ühe kuu jooksul võtta kahe kolmandikulise häälteenamusega vastu järelevalveasutusele siduva meetme. [ME 167]
Artikkel 59
Komisjoni arvamus
1. Kümne nädala jooksul pärast küsimuse tõstatamist vastavalt artiklile 58 või vähemalt kuue nädala jooksul artiklis 61 sätestatud juhul võib komisjon määruse nõuetekohaseks ja järjepidevaks kohaldamiseks võtta vastu arvamuse artiklite 58 või 61 kohaselt tõstatatud küsimuste kohta.
2. Kui komisjon on võtnud vastu lõike 1 kohase arvamuse, arvestab asjaomane järelevalveasutus igati komisjoni arvamusega ning teavitab komisjoni ja Euroopa Andmekaitsenõukogu sellest, kas jäädakse meetme eelnõu juurde või soovitakse seda muuta.
3. Lõikes 1osutatud ajavahemiku jooksul ei võta järelevalveasutus meetme eelnõud vastu.
4. Kui asjaomane järelevalveasutus ei kavatse järgida komisjoni arvamust, teavitab ta sellest komisjoni ja Euroopa Andmekaitsenõukogu lõikes 1 osutatud ajavahemiku jooksul ning esitab põhjenduse. Sellisel juhul ei võeta meetme eelnõu vastu veel ühe kuu jooksul.[ME 168]
Artikkel 60
Meetme eelnõu peatamine
1. Ühe kuu jooksul pärast artikli 59 lõikes 4 osutatud teatise esitamist ja juhul kui komisjonil on tõsiseid kahtlusi selles osas, kas meetme eelnõuga tagatakse käesoleva määruse nõuetekohane kohaldamine või oleks määruse kohaldamine ebaühtlane, võib komisjon võtta vastu põhjendatud otsuse, milles nõutakse järelevalveasutuselt meetme eelnõu vastuvõtmise peatamist, võttes arvesse Euroopa Andmekaitsenõukogu arvamust, mis on koostatud artikli 58 lõike 7 või artikli 61 lõike 2 kohaselt, kui seda on vaja:
a) järelevalveasutuse ja Euroopa Andmekaitsenõukogu lahkarvamuste ühitamiseks, kui see on veel võimalik, või
b) artikli 62 lõike 1 punkti a kohase meetme vastuvõtmiseks.
2. Komisjon määrab kindlaks peatamise kestuse, mis ei ületa 12 kuud.
3. Lõikes 2 osutatud ajavahemikul ei või järelevalveasutus meetme eelnõud vastu võtta. [ME 169]
Artikkel 60a
Euroopa Parlamendi ja nõukogu teavitamine
Komisjon teavitab nõukogu ja parlamenti korrapäraselt, vähemalt korra poole aasta jooksul Euroopa Andmekaitsenõukogu eesistuja aruande alusel järjepidevuse mehhanismi raames käsitletud küsimustest ja toob sealjuures välja komisjoni ja Euroopa Andmekaitsenõukogu järeldused käesoleva määruse ühtse rakendamise ja kohaldamise tagamiseks. [ME 170]
Artikkel 61
Kiirmenetlus
1. Erandlike asjaolude korral, kui järelevalveasutus leiab, et andmesubjektide huvide kaitsmiseks tuleb kiiresti tegutseda, eelkõige siis, kui on oht, et andmesubjekti õiguse kohtulikku kaitsmist võib praeguse seisundi muutmine märkimisväärselt takistada, või kui on vaja ära hoida olulisi puudusi või muudel põhjustel, võib ta erandina artiklis 58 58a sätestatud korrast võtta viivitamata vastu piiratud kehtivusajaga ajutised meetmed. Järelevalveasutus edastab viivitamata kõnealused meetmed koos kõikide põhjendustega Euroopa Andmekaitsenõukogule ja komisjonile. [ME 171]
2. Kui järelevalveasutus on võtnud lõike 1 kohase meetme ja leiab, et lõplikud meetmed tuleb kiiresti vastu võtta, võib ta Euroopa Andmekaitsenõukogult taotleda arvamuse viivitamatut esitamist, esitades kõnealuse taotluse ja lõplike meetmete kiireloomulisuse põhjused.
3. Iga järelevalveasutus võib taotleda arvamuse viivitamatut esitamist, kui pädev järelevalveasutus ei ole kiireloomulises olukorras võtnud andmesubjekti huvide kaitseks asjaomaseid meetmeid, esitades kõnealuse taotluse ja kiire tegutsemise vajaduse põhjused.
4. Erandina artikli 58 lõikest 7 võetakse käesoleva artikli Lõigetes 2 ja 3 osutatud kiireloomuline arvamus vastu kahe nädala jooksul Euroopa Andmekaitsenõukogu liikmete lihthäälteenamuse alusel. [ME 172]
Artikkel 62
Rakendusaktid
1. Pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist võib komisjon vastu võtta üldkohaldatavad rakendusaktid, et teha järgmist:
a) seoses talle järelevalveasutustelt vastavalt artiklile 58 või 61 edastatud küsimustega teha otsus käesoleva määruse eesmärkidele ja tingimustele vastava nõuetekohase rakendamise kohta, milles käsitletakse küsimust, mille suhtes on vastu võetud põhjendatud otsus vastavalt artikli 60 lõikele 1, või milles käsitletakse küsimust, mille suhtes järelevalveasutus ei võta vastu meetme eelnõud ja mille kohta on järelevalveasutus teatanud, et ta ei kavatse järgida komisjoni arvamust, mis on vastu võetud artikli 59 kohaselt;
b) teha artikli 59 lõikes 1 osutatud ajavahemiku jooksul otsus, milles teatatakse, kas artikli 58 42 lõike 2 punktis d osutatud isikuandmete kaitse standardklauslid on üldkehtivad;
c) täpsustada käesolevas jaos osutatud järjepidevuse mehhanismi kohaldamise vormi ja korda;
d) täpsustada järelevalveasutuste vahelist ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu vahelist elektroonilise teabevahetuse korraldust, eelkõige artikli 58 lõigetes 5, 6 ja 8 osutatud tüüpvormi.
Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.
2. Andmesubjektide huvides nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu, mis on seotud lõikes 1 osutatud juhtudega, võtab komisjon vastu viivitamata kohaldatavad rakendusaktid vastavalt artikli 87 lõikes 3 osutatud menetlusele. Nimetatud aktid kehtivad kuni 12 kuud.
3. Käesoleva jao kohase meetme puudumine või vastuvõtmine ei piira komisjoni teisi meetmeid, mis on vastu võetud aluslepingute alusel. [ME 173]
Artikkel 63
Täitmine
1. Käesoleva määruse kohaldamisel kuulub ühe liikmesriigi järelevalveasutuse täitmisele kuuluv meede täitmisele kõikides liikmesriikides.
2. Kui järelevalveasutus ei esita meetme eelnõud menetlemiseks järjepidevuse mehhanismi raames, rikkudes sel moel artikli 58 lõikeid 1–5 lõiget 1 ja 2, või võtab vastu meetme vaatamata sellele, et selle suhtes on artikli 58 lõike 1 kohaselt esitatud tugev vastuväide, ei ole järelevalveasutuse meede õiguslikult kehtiv ega kuulu täitmisele. [ME 174]
3.JAGU
EUROOPA ANDMEKAITSENÕUKOGU
Artikkel 64
Euroopa Andmekaitsenõukogu
1. Käesolevaga luuakse Euroopa Andmekaitsenõukogu.
2. Euroopa Andmekaitsenõukogu koosneb iga liikmesriigi ühe järelevalveasutuse juhatajast ja Euroopa andmekaitseinspektorist.
3. Kui liikmesriigis on rohkem kui üks järelevalveasutus, kes vastutab käesoleva määruse kohaldamise järelevalve eest, määratakse ühiseks esindajaks ühe järelevalveasutuse juhataja.
4. Komisjonil on õigus osaleda Euroopa Andmekaitsenõukogu tegevuses ja kohtumistel ning määrata enda esindaja. Euroopa Andmekaitsenõukogu eesistuja teavitab viivitamata komisjoni kõikidest Euroopa Andmekaitsenõukogu tegevustest.
Artikkel 65
Sõltumatus
1. Euroopa Andmekaitsenõukogu tegutseb artiklites 66 ja 67 sätestatud ülesannete täitmisel sõltumatult.
2. Ilma et see piiraks komisjoni taotlusi, millele osutatakse artikli 66 lõike 1 punktis b ja artikli 66 lõikes 2, ei küsi ega võta Euroopa Andmekaitsenõukogu vastu juhiseid teistelt isikutelt.
Artikkel 66
Euroopa Andmekaitsenõukogu ülesanded
1. Euroopa Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb Euroopa Andmekaitsenõukogu omal algatusel või Euroopa Parlamendi, nõukogu ja komisjoni taotluse korral eelkõige järgmist:
a) nõustab komisjoniEuroopa institutsioone kõikides isikuandmete kaitsega seotud küsimustes Euroopa Liidus, sealhulgas käesoleva määruse kavandatavad muudatused;
b) analüüsib omal algatusel või ühe oma liikme või Euroopa Parlamendi, nõukogu või komisjoni taotluse korral käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse, sealhulgas jõustamisvolituste kasutamise järjepideva kohaldamise tagamiseks välja järelevalveasutustele mõeldud juhiseid, soovitusi ja parimaid tavasid;
c) jälgib punktis b osutatud juhiste, soovituste ja parimate tavade praktilist kohaldamist ning annab sellest komisjonile korrapäraselt aru;
d) esitab arvamusi järelevalveasutuste otsuste eelnõude kohta vastavalt artiklis 57 osutatud järjepidevuse mehhanismile;
da) esitab arvamuse, milline ametiasutus peaks olema artikli 54a lõike 3 kohane juhtiv asutus;
e) edendab järelevalveasutuste vahelist koostööd ning teabe ja parimate tavade vahetamist, sealhulgas ühisoperatsioonide ja muu ühistegevuse kooskõlastamist, kui ta otsustab seda nii ühe või mitme järelevalveasutuse taotluse korral;
f) edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste ning vajaduse korral kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutuste vahel;
g) edendab teadmiste, isikuandmete kaitse õigusakte ja tavasid käsitlevate dokumentide vahetamist järelevalvet tegevate asutuste vahel kogu maailmas;
ga) esitab komisjonile oma arvamuse käesoleval määrusel põhinevate delegeeritud õigusaktide ja rakendusaktide ettevalmistamise käigus;
gb) esitab oma arvamuse artikli 38 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta;
gc) esitab oma arvamuse artikli 39 lõike 2 kohase isikuandmete kaitse sertifitseerimisemehhanismi kriteeriumite ja nõuete kohta;
gd) peab artikli 39 lõike 1h kohast elektroonilist registrit kehtivate ja kehtetute sertifikaatide kohta;
ge) pakkuda riiklikele järelevalveasutustele nende taotluse korral abi;
gf) koostab ja avalikustab loetelu töötlemistoimingutest, mille suhtes kohaldatakse lõikes 34 sätestatud eelnevat konsulteerimist;
gg) pidada registrit karistuste kohta, mille on vastutavatele töötlejatele või volitatud töötlejatele kehtestanud pädevad järelevalveasutused.
2. Kui Euroopa Parlament, nõukogu või komisjon palub Euroopa Andmekaitsenõukogult nõu, võib ta määrata nõuande esitamiseks tähtaja, võttes arvesse küsimuse kiireloomulisust.
3. Euroopa Andmekaitsenõukogu edastab oma arvamused, juhised, soovitused ja parimad tavad Euroopa Parlamendile, nõukogule ja komisjonile ja ning artiklis 87 osutatud komiteele ning avalikustab need.
4. Komisjon teavitab Euroopa Andmekaitsenõukogu meetmetest, mis ta on võtnud järgides Euroopa Andmekaitsenõukogu välja antud arvamusi, juhiseid, soovitusi ja parimaid tavasid.
4a. Euroopa Andmekaitsenõukogu konsulteerib vajaduse korral huvitatud osalistega ja annab neile võimaluse mõistliku aja jooksul kommenteerida. Euroopa Andmekaitsenõukogu teeb artikli 72 kohaldamist piiramata konsulteerimismenetluse tulemused üldsusele kättesaadavaks.
4b. Euroopa Andmekaitsenõukogule usaldatakse lõike 1 punkti b kohaste suuniste, soovituste ja parimate tavade avaldamine, et kehtestada ühised menetlused keelatud andmetöötlustoimingute kohta laekuva teabe vastuvõtmise ja uurimise ning saadud teabe konfidentsiaalsuse ja allikate kaitsmise kohta. [ME 175]
Artikkel 67
Aruanded
1. Euroopa Andmekaitsenõukogu teavitab korrapäraselt ja õigeaegselt Euroopa Parlamenti, nõukogu ja komisjoni oma tegevuse tulemustest. KomiteeAndmekaitsenõukogu koostab aastaaruande vähemalt iga kahe aasta järel aruande, kus käsitletakse füüsiliste isikute kaitse olukorda seoses isikuandmete töötlemisega liidus ja kolmandates riikides.
Aruandes esitatakse artikli 66 lõike 1 punktis c osutatud juhiste, soovituste ja parimate tavade tegeliku kohaldamise kohta ülevaade. [ME 176]
2. Aruanne avalikustatakse ning edastatakse Euroopa Parlamendile, nõukogule ja komisjonile.
Artikkel 68
Menetlus
1. Euroopa Andmekaitsenõukogu teeb otsused liikmete lihthäälteenamuse alusel,kui töökorras ei ole sätestatud teisiti. [ME 177]
2. Euroopa Andmekaitsenõukogu võtab vastu oma töökorra ja paneb paika oma töökorralduse. Eelkõige näeb ta ette ülesannete täitmise jätkamise juhuks, kui liikme ametiaeg lõpeb või liige lahkub ametist, allrühmade loomise eriküsimuste lahendamiseks või erivaldkondade käsitlemiseks ning seoses artiklis 57 osutatud järjepidevuse mehhanismi kasutamise korra.
Artikkel 69
Eesistuja
1. Euroopa Andmekaitsenõukogu valib oma liikmete seast eesistuja ja vähemalt kaks eesistuja asetäitjat. Üheks eesistuja asetäitjaks on Euroopa andmekaitseinspektor, kui ta ei ole valitud eesistujaks. [ME 178]
2. Eesistuja ja eesistuja asetäitjate ametiaeg on viis aastat ja neid võib ametisse tagasi nimetada.
2a. Eesistuja töökoht on täisajaga töökoht. [ME 179]
Artikkel 70
Eesistuja ülesanded
1. Eesistujal on järgmised ülesanded:
a) kutsuda kokku Euroopa Andmekaitsenõukogu koosolek ja valmistada ette päevakord;
b) tagada Euroopa Andmekaitsenõukogu ülesannete õigeaegne täitmine, eelkõige seoses artiklis 57 osutatud järjepidevuse mehhanismiga.
2. Euroopa Andmekaitsenõukogu näeb oma töökorras ette ülesannete jaotuse eesistuja ja eesistuja asetäitjate vahel.
Artikkel 71
Sekretariaat
1. Euroopa Andmekaitsenõukogul on sekretariaat. Euroopa andmekaitseinspektor tagab sekretariaadi töö.
2. Vastavalt eesistuja juhistele pakub sekretariaat Euroopa Andmekaitsenõukogule analüütilist, õiguslikku, halduslikku ja logistilist tuge. [ME 180]
3. Sekretariaat vastutab eelkõige järgneva eest:
a) Euroopa Andmekaitsenõukogu igapäevane tegevus;
b) Euroopa Andmekaitsenõukogu, selle eesistuja ja komisjoni vaheline suhtlemine ning suhtlemine teiste institutsioonide ja üldsusega;
c) elektrooniliste vahendite kasutamine sise- ja välissuhtluses;
d) asjaomase teabe tõlkimine;
e) Euroopa Andmekaitsenõukogu koosolekute ettevalmistamine ja järelmeetmed;
f) Euroopa Andmekaitsenõukogus vastu võetud arvamuste ja muude dokumentide ettevalmistamine, koostamine ja avaldamine.
Artikkel 72
Konfidentsiaalsus
1. Euroopa Andmekaitsenõukogu arutelud võivad olla vajaduse korral konfidentsiaalsed, välja arvatud juhul, kui töökorras on konfidentsiaalsedette nähtud teisiti. Euroopa Andmekaitsenõukogu koosolekute päevakorrad avalikustatakse. [ME 181]
2. Euroopa Andmekaitsenõukogu liikmetele, ekspertidele ja kolmandate isikute esindajatele esitatud dokumendid on konfidentsiaalsed, kui neile ei ole juurdepääsu antud kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 1049/2001(18) või kui Euroopa Andmekaitsenõukogu pole neid ise muul viisil avalikustanud.
3. Euroopa Andmekaitsenõukogu liikmed, eksperdid ja kolmandate isikute esindajad on kohustatud täitma käesolevas artiklis sätestatud konfidentsiaalsusnõuet. Eesistuja tagab, et eksperdid ja kolmandate isikute esindajad on teadlikud neile esitatavatest konfidentsiaalsusnõuetest.
VIII PEATÜKK
ÕIGUSKAITSEVAHENDID, VASTUTUS JA SANKTSIOONID
Artikkel 73
Õigus esitada järelevalveasutusele kaebus
1. Ilma et see piiraks teiste halduslike või õiguslike kaitsevahendite ja järjepidevuse mehhanismi kohaldamist, on igal andmesubjektil õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis, kui nad leiavad, et nendega seotud isikuandmete töötlemine ei ole kooskõlas käesoleva määrusega.
2. Igal avalikes huvides tegutseval asutusel, organisatsioonil või ühendusel, mille eesmärk on kaitsta andmesubjektide õigusi ja huve seoses nende isikuandmete kaitsmisega ning mis on moodustatud vastavalt liikmesriigi õigusaktidele, on õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis ühe või mitme andmesubjekti nimel, kui ta leiab, et käesoleva määruse kohaseid andmesubjekti õigusi on rikutud isikuandmete töötlemise tulemusel.
3. Sõltumata andmesubjekti kaebusest, on igal lõikes 2 osutatud asutusel, organisatsioonil või ühendusel õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis, kui ta leiab, et toime on pandud isikuandmetega seotudkäesoleva määruse rikkumine. [ME 182]
Artikkel 74
Õigus kasutada õiguskaitsevahendit järelevalveasutuse vastu
1. Ilma et see piiraks teiste halduslike või mitteõiguslike kaitsevahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada õiguskaitsevahendit järelevalveasutuse poolt nende kohta tehtud otsuse vastu.
2. Ilma et see piiraks teiste halduslike või mitteõiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus kasutada õiguskaitsevahendit, millega kohustatakse järelevalveasutust kaebuse alusel tegutsema andmesubjektide õiguste kaitsmiseks vajaliku otsuse puudumise korral või kui järelevalveasutus ei teavita andmesubjekti kolme kuu jooksul vastavalt artikli 52 lõike 1 punktile b esitatud kaebuse menetlemise käigust või tulemusest.
3. Järelevalveasutuse vastu algatatakse menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub.
4. Ilma et see piiraks järjepidevuse mehhanismi kohaldamist, võib andmesubjekt, kelle kohta on otsuse teinud järelevalveasutus liikmesriigis, mis ei ole andmesubjekti alaline elukoht, võib esitada oma alalise elukoha liikmesriigi järelevalveasutusele taotluse alustada tema nimel menetlust teise liikmesriigi pädeva järelevalveasutuse vastu.
5. Liikmesriigid pööravad täitmisele käesolevas artiklis osutatud kohtute otsused. [ME 183]
Artikkel 75
Õigus kasutada õiguskaitsevahendit vastutava töötleja või volitatud töötleja vastu
1. Ilma et see piiraks mis tahes õiguskaitsekaitsevahendi kohaldamist, sealhulgas õigust esitada järelevalvesugusele kaebus, nagu on osutatud artiklis 73, on igal füüsilisel isikul õigus kasutada õiguskaitsevahendit, kui nad leiavad, et nende käesolevast määrusest tulenevaid õigusi on rikutud nende isikuandmete sellise töötlemise tulemusel, mis on vastuolus käesoleva määrusega.
2. Vastutava töötleja või volitatud töötleja vastu algatatakse menetlus selle liikmesriigi kohtus, kus vastutav töötleja või volitatud töötleja asub. Menetluse võib algatada ka selle liikmesriigi kohtus, kus asub andmesubjekti alaline elukoht, välja arvatud juhul, kui vastutav töötleja on liidu või liikmesriigi avalikku võimu teostav avaliku sektori asutus. [ME 184]
3. Kui sama meedet, otsust või praktikat käsitlev menetlus on pooleli seoses artiklis 58 osutatud järjepidevuse mehhanismiga, võib kohus menetluse peatada, välja arvatud juhul, kui andmesubjekti õiguste kaitset käsitleva küsimuse kiireloomulisus ei võimalda ära oodata järjepidevuse mehhanismi menetluse tulemust.
4. Liikmesriigid pööravad täitmisele käesolevas artiklis osutatud kohtute otsused.
Artikkel 76
Kohtumenetluse ühiseeskirjad
1. Igal artikli 73 lõikes 2 osutatud asutusel, organisatsioonil või ühingul on õigus kasutada artiklites 74, 75 ja 77 osutatud õigusi ühe või mitme, kui üks või mitu andmesubjekti nimelon teda selleks volitanud. [ME 185]
2. Igal järelevalveasutusel on õigus osaleda kohtumenetluses ja esitada kohtusse hagi, et tagada käesoleva määruse sätete järgimine või isikuandmete kaitse järjepidevus Euroopa Liidus.
3. Kui liikmesriigi pädeval kohtul on põhjus uskuda, et teises liikmesriigis toimub paralleelne menetlus, võtab ta sellele kinnituse saamiseks ühendust teise liikmesriigi pädeva kohtuga.
4. Kui teises liikmesriigis toimuva paralleelse menetluse käigus käsitletakse sama meedet, otsust või praktikat, võib kohus menetluse peatada.
5. Liikmesriigid tagavad, et nende siseriiklike õigusaktide kohaselt kasutada olevad õiguskaitsevahendid võimaldavad kiiresti võtta meetmeid, kaasa arvatud ajutisi meetmeid, et lõpetada iga väidetav rikkumine ja vältida asjaomaste huvide edasist kahjustamist.
Artikkel 77
Õigus hüvitisele ja vastutus
1. Kõikidel isikutel, kes on kandnud kahju, kaasa arvatud mittevaralist kahju keelatud andmetöötlustoimingu või käesoleva määruse sätetega vastuolus oleva toimingu tagajärjel, on õigus saadanõuda vastutavalt töötlejalt või volitatud töötlejalt hüvitist kahju tekitamise eest. [ME 186]
2. Kui töötlemistoimingutega on seotud rohkem kui üks vastutav töötleja või volitatud töötleja, on iga vastutav töötlejavastutavad kõik töötlejad või volitatud töötlejatöötlejad solidaarselt vastutav kogu kahju eest, välja arvatud juhul, kui nad on sõlminud vastavalt artiklile 24 nõuetekohase kirjaliku kokkuleppe igaühe vastutuse kohta. [ME 187]
3. Vastutava töötleja või volitatud töötleja võib kõnealusest vastutusest tervikuna või osaliselt vabastada, kui ta tõestab, et tema ei ole kahju põhjustanud sündmuse eest vastutav.
Artikkel 78
Karistused
1. Liikmesriigid näevad ette käesoleva määruse sätete rikkumise eest kohaldatavad karistused ja võtavad kõik vajalikud meetmed, et tagada nende rakendamine, sealhulgas juhul, kui vastutav töötleja ei täitnud esindaja määramise kohustust. Kõnealused karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad.
2. Kui vastutav töötleja on määranud esindaja, kohaldatakse karistust tema suhtes, ilma et see piiraks karistuste kohaldamist vastutava töötleja suhtes.
3. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.
Artikkel 79
Halduskaristused
1. Igal järelevalveasutusel on õigus kohaldada halduskaristusi kooskõlas käesoleva artikliga. Järelevalveasutused teevad omavahel koostööd kooskõlas artiklitega 46 ja 57, et tagada liidus ühtlustatud sanktsioonide tase.
2. Halduskaristused on igal üksikul juhul tõhusad, proportsionaalsed ja hoiatavad. Haldustrahvi suurus määratakse kindlaks, arvestades igati rikkumise olemust, raskust ja kestust, kõrvalekaldumise tahtlikku või tahtmatut iseloomu, füüsilise või juriidilise isiku või nende isikute varasemate rikkumiste vastutuse määra, kooskõlas artikliga 23 kohaldatud tehnilisi ja organisatoorseid meetmeid ja protseduure ning rikkumise heastamiseks järelevalveasutusega tehtava koostöö määra.
2a. Kõigile, kes ei täida käesolevas määruses sätestatud kohustusi, kohaldab järelevalveasutus vähemalt ühte järgnevatest karistustest:
a) kirjalik hoiatus esimese ja tahtmatu rikkumise korral;
b) korrapärased isikuandmete kaitse auditid;
c) kuni 100 000 000 euro suurune trahv või trahv ettevõttele, mis ulatub kuni 5%-ni tema ülemaailmsest aastakäibest, sõltuvalt sellest, kumb on suurem.
2b. Kui vastutaval töötlejal või volitatud töötlejal on artikli 39 kohane kehtiv märgis „Euroopa isikuandmete kaitse pitser”, kohaldatakse lõike 2a punkti c kohast trahvi ainult tahtliku või hoolimatusest põhjustatud rikkumise korral.
2c. Halduskaristuse määramisel võetakse arvesse järgmisi asjaolusid:
a) rikkumise olemus, raskus ja kestus;
b) rikkumise tahtlik või tahtmatu iseloom;
c) füüsilise või juriidilise isiku ja nende isikute varasemate rikkumiste vastutuse määr;
d) rikkumise korduv olemus;
e) rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks järelevalveasutusega tehtava koostöö määr;
f) rikkumisest mõjutatud isikuandmete eriliigid;
g) andmesubjektile tekitatud kahju, sealhulgas mittevaralise kahju tase;
h) vastutava või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;
i) rikkumisest otseselt või kaudselt saada kavatsetud või saadud finantskasu või välditud kaotused;
j) kohaldatud tehniliste ja organisatoorsete meetmete ja korra määr, kohaldatud kooskõlas:
i) Artikkel 23 – Isikuandmete lõimitud kaitse ja vaikimisi kaitse
ii) Artikkel 30 – Töötlemise turvalisus
iii) Artikkel 33 – Isikuandmete kaitsele avaldatava mõju hinnang
iv) Artikkel 33 a – Isikuandmete kaitsele avaldatava mõju hinnang
v) Artikkel 35 – Andmekaitseametniku määramine
k) järelevalveasutuse poolt kooskõlas artikliga 53 tehtavate inspektsioonide, auditite ja kontrollidega koostöö tegemisest keeldumine.
l) muud raskendavad või kergendavad tegurid, mis on kohaldatavad juhtumi asjaoludele.
3. Käesoleva määruse esimese ja tahtmatu rikkumise korral ei kohaldata karistusi, vaid esitatakse kirjalik hoiatus, kui:
(a) füüsiline isik töötleb isikuandmeid ilma ärihuve omamata või
(b) vähem kui 250 töötajaga ettevõte või organisatsioon töötleb isikuandmeid oma põhitegevuse kõrvaltegevusena.
4. Järelevalveasutus määrab kuni 250 000 euro suuruse trahvi või ettevõttele trahvi, mis ulatub kuni 0,5 %-ni ülemaailmsest aastakäibest, igaühele, kes tahtlikult või hooletusest:
(a) ei kehtesta mehhanisme andmesubjektide taotluste jaoks või ei vasta andmesubjektidele viivitamata või nõutavas vormis kooskõlas artikli 12 lõigetega 1 ja 2;
(b) võtab andmesubjektidele antava teabe või nende taotlustele vastamise eest tasu, rikkudes artikli 12 lõiget 4.
5. Järelevalveasutus määrab kuni 500 000 euro suuruse trahvi või ettevõttele trahvi, mis ulatub kuni 1 %-ni ülemaailmsest aastakäibest, igaühele, kes tahtlikult või hooletusest:
(a) ei esita andmesubjektile teavet või teeb seda puudulikult või ei tee seda piisavalt läbipaistval viisil vastavalt artiklile 11, artikli 12 lõikele 3 ja artiklile 14;
(b) ei võimalda andmesubjektidele juurdepääsu või ei paranda isikuandmeid vastavalt artiklitele 15 ja 16 või ei edasta saajale asjakohast teavet vastavalt artiklile 13;
(c) rikub õigust olla unustatud või õigust andmete kustutamisele või ei kehtesta tähtaegadest kinnipidamise tagamiseks mehhanisme või ei võta kõiki vajalikke meetmeid kolmandate isikute teavitamiseks, et andmesubjekt nõuab andmetele osutavate linkide ning andmete koopiate ja korduste kustutamist kooskõlas artikliga 17;
(d) ei esita isikuandmete koopiat elektroonilisel kujul või artikli 18 vastaselt takistab andmesubjektil edastada isikuandmeid teisele rakendusele;
(e) ei määra üldse või piisavas ulatuses kindlaks kaasvastutavate töötlejate asjakohaseid kohustusi vastavalt artiklile 24;
(f) ei säilita üldse või piisaval määral dokumente vastavalt artiklile 28, artikli 31 lõikele 4 ja artikli 44 lõikele 3;
(g) juhtudel, kui tegemist ei ole konkreetsete andmekategooriatega, ei täida artiklite 80, 82 ja 83 kohaseid eeskirju, mis on seotud sõnavabadusega või mis käsitlevad töötlemist töösuhte kontekstis või ajaloo- ja statistikauurimuste ning teadustöö eesmärgil.
6. Järelevalveasutus määrab kuni 1 000 000 euro suuruse trahvi või ettevõttele trahvi, mis ulatub kuni 2 %-ni ülemaailmsest aastakäibest, igaühele, kes tahtlikult või hooletusest:
(a) töötleb isikuandmeid ilma või piisava õigusliku aluseta ja ei täida artiklite 6, 7 ja 8 kohaseid nõusoleku andmise tingimusi;
(b) töötleb andmete erikategooriaid artiklite 9 ja 81 tingimusi rikkudes;
(c) rikub artikli 19 kohast vaidlustamisõigust või nõuet;
(d) ei täida artikli 20 kohasel profiilianalüüsil põhinevate meetmetega seotud tingimusi;
(e) ei võta vastu sise-eeskirju või ei kohalda vajalikke meetmeid, et tagada vastavus artiklitele 22, 23 ja 30 ning seda tõendada;
(f) ei määra esindajat vastavalt artiklile 25;
(g) töötleb isikuandmeid või annab korralduse nende töötlemiseks, rikkudes kohustusi, mis on seotud vastutava töötleja nimel tehtavate töötlemistoimingutega vastavalt artiklitele 26 ja 27;
(h) ei hoiata ega teata isikuandmetega seotud rikkumisest ega anna järelevalveasutusele ja andmesubjektile õigeaegselt või täies ulatuses teada andmetega seotud rikkumisest vastavalt artiklitele 31 ja 32;
(i) ei tee artiklis 33 nõutud isikuandmete kaitse mõjuhinnangut või töötleb isikuandmeid ilma järelevalveasutuse eelneva loata või konsulteerimiseta, nagu on nõutud artiklis 34;
(j) ei määra ametisse andmekaitseametnikku ega taga tingimusi artiklite 35, 36 ja 37 kohaste ülesannete täitmiseks;
(k) kuritarvitab isikuandmekaitse pitserit või märgist artikli 39 tähenduses;
(l) kannab kolmandale riigile või rahvusvahelisele organisatsioonile andmeid üle või annab selleks korralduse, mis ei ole lubatud piisava kaitstuse otsuse või asjakohaste kaitsemeetmete või erandi alusel vastavalt artiklitele 40–44;
(m) ei täida järelevalveasutuse ajutist või alalist töötlemiskeeldu või andmevoogude peatamise keeldu vastavalt artikli 53 lõikele 1;
(n) ei täida kohustust aidata järelevalveasutust, talle vastata või edastada vajalikku teavet või võimaldada tal juurdepääs ruumidele vastavalt artikli 28 lõikele 3, artiklile 29, artikli 34 lõikele 6 ja artikli 53 lõikele 2;
(o) ei täida artikli 84 kohaseid ametisaladuse kaitsmise eeskirju.
7. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte eesmärgiga ajakohastada lõigetes 4, 5 ja 6 lõikes 2a osutatud haldustrahvide summad absoluutsummad, võttes arvesse lõikes 2 lõigetes 2 ja 2c osutatud tingimusi ja tegureid. [ME 188]
IX PEATÜKK
ANDMETÖÖTLUSE ERIOLUKORDI KÄSITLEVAD SÄTTED
Artikkel 80
Isikuandmete töötlemine ja sõnavabadus
1. Liikmesriigid näevad isikuandmete töötlemiseks üksnes ajakirjanduse jaoks või kirjandusliku või kunstilise eneseväljenduse huvideskooskõlas hartaga ette vabastused või erandid järgmistest sätetest: II peatükk põhimõtted, III peatükk andmesubjekti õigused, IV peatükk vastutav töötleja ja volitatud töötleja, V peatükk isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, VI peatükk sõltumatud järelevalveasutused ja VII peatükk koostöö ja järjepidevus ning käesolev peatükk andmete töötlemise eriolukordadega seotud sätted, kui see on vajalik, et ühitada õigus isikuandmete kaitsele sõnavabadust käsitlevate eeskirjadega. [ME 189]
2. Iga liikmesriik teavitab hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks komisjoni vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.
Artikkel 80a
Juurdepääs dokumentidele
1. Avaliku sektori asutuse või organi valduses olevates dokumentides sisalduvaid isikuandmeid võib see asutus või organ avaldada kooskõlas liidu või liikmesriigi õigusaktidega, mis käsitlevad ametlike dokumentide üldist kättesaadavust ja millega ühitatakse õigus isikuandmete kaitsele ametlike dokumentide üldise kättesaadavuse põhimõttega.
2. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest neid mõjutavatest muudatustest. [ME 190]
Artikkel 81
Terviseandmete töötlemine
1. Käesoleva määruse piires ja vastavaltKooskõlas käesolevas määruses sätestatud eeskirjadega, eelkõige artikli 9 lõike 2 punktile hpunktiga h, tuleb terviseandmeid töödelda tuginedes liidu või liikmesriigi õigusele, milles nähakse ette sobivad ja konkreetsed meetmed andmesubjekti õigustatud huvihuvide ja põhiõiguste kaitsmiseks, ningkui töötlemine peab olema on vajalik ja proportsionaalne ja on võimalik prognoosida selle mõju andmesubjektile:
a) ennetava meditsiini või töömeditsiini, meditsiinilise diagnoosi, meditsiinilise abi või ravi võimaldamise või tervishoiuteenuste korraldamise jaoks ja kui kõnealuseid andmeid töötleb tervishoiutöötaja, kelle puhul kehtib ametisaladuse hoidmise kohustus, või mõni teine isik, kelle suhtes kehtib liikmesriigi õiguses või liikmesriigi pädevate ametiasutuste kehtestatud eeskirjades sätestatud samaväärne saladuse hoidmise kohustus, või
b) rahvatervise valdkonna avaliku huvi tõttu, näiteks kaitse tervisele avalduva tõsise piiriülese ohu korral või kõrgete kvaliteedi ja ohutuse standardite tagamine, muu hulgas ravimite või meditsiiniseadmete puhul, ja kui andmeid töötleb isik, kes on kohustatud tagama andmete konfidentsiaalsuse; või
c) muudel avaliku huviga seotud põhjustel, näiteks sellistes valdkondades nagu sotsiaalne kaitse, eriti selleks, et tagada hüvitisnõuete rahuldamise menetluste ja tervisekindlustussüsteemi teenuste kvaliteet ning tasuvus ning tervishoiuteenuste osutamine. Sellise terviseandmete avalikes huvides töötlemine ei tohi põhjustada isikuandmete töötlemist muudel eesmärkidel, välja arvatud andmesubjekti nõusolekul või liidu või liikmesriigi õiguse alusel.
1a. Kui lõike 1 punktides a–c osutatud eesmärgid on võimalik saavutada ilma isikuandmete kasutamiseta, ei kasutata isikuandmeid neil eesmärkidel, välja arvatud, kui andmesubjekt annab selleks nõusoleku või see toimub vastavalt liikmesriigi õigusele.
1b. Kui meditsiiniliste andmete töötlemiseks üksnes rahvatervisega seotud teadusuuringute eesmärkidel on vaja andmesubjekti nõusolekut, võib andmesubjekt anda oma nõusoleku ühe või mitme konkreetse või sarnase teadusuuringu jaoks. Siiski võib andmesubjekt oma nõusoleku igal ajal tagasi võtta.
1c. Juhul kui nõusolekut küsitakse osalemiseks kliinilisi uuringuid hõlmavate teadusuuringute jaoks, kohaldatakse Euroopa Parlamendi ja nõukogu direktiivi 2001/20/EÜ(19) asjakohaseid sätteid.
2. Terviseandmete töötlemise puhul töötlemine, mis on vajalik ajaloo- ja statistikauurimuste ning teadustöö eesmärgil, näiteks patsientide registrite loomine, et parandada diagnoosimist ja eristada sarnast tüüpi haigusi ja valmistada ette ravivõimaluste uuringuid, on lubatud ainult andmesubjekti nõusolekul ja sellise töötlemise puhul kohaldatakse artiklis 83 osutatud tingimusi ja kaitsemeetmeid.
2a. Liikmesriikide õiguses võib esineda erandeid lõikes 2 osutatud nõudest saada teadustöö puhul nõusolek, kui on tegemist suurt avalikku huvi teeniva teadusuuringuga ja kui seda ei ole võimalik teha muul viisil. Kõnesolevad andmed muudetakse anonüümseks või kui see ei ole teadustöö eesmärkide tõttu võimalik, kasutatakse varjunimesid rangeimate tehniliste standardite alusel ning võetakse kõik vajalikud meetmed, et vältida põhjendamatut andmesubjektide taastuvastamist. Siiski on andmesubjektil artikli 19 kohaselt õigus esitada igal ajahetkel vastuväide.
3. Komisjoni volitatakse vastavalt artiklile 86 võtma pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist vastu delegeeritud õigusakte, millega täpsustatakse muid avaliku huvi põhjusi rahvatervise valdkonnas, nagu on osutatud lõike 1 punktis b, ning samuti lõikes 1suurt avalikku huvi teadusuuringute valdkonnas, nagu on osutatud eesmärkidel tehtavate isikuandmete töötlemise kaitsemeetmete tingimusi ja nõudeid lõikes 2a.
3a. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest. [ME 191]
Artikkel 82
TöötlemineAndmetöötlemise miinimumnõuded töösuhte kontekstis
1. Kooskõlas käesoleva määruse piiressätetega ja võttes arvesse proportsionaalsuse põhimõtet võivad liikmesriigid vastu võtta õigusakteõigusaktide erisätteid, millega reguleeritakse töötajate isikuandmete töötlemist töösuhete kontekstis, eelkõige, kuid mitte ainult seoses töötajate värbamisega ja leidmisega kontsernides, seoses töölepingu, sealhulgas riiklike seaduste ja tavade kohaselt õigusaktides võija kollektiivlepingutes sätestatud kohustuste täitmisega, kollektiivlepingutega, juhtimisega, töö kavandamise ja korraldamisega, töötervishoiu ja tööohutusega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ja töösuhte lõppemisega. Käesoleva artikli sätete üksikasjalikumaks täpsustamiseks võivad liikmesriigid lubada võtta vastu kollektiivlepinguid.
1a. Selliste andmete eesmärk peab olema seotud põhjusega, milleks neid koguti, ning jääma töösuhte konteksti. Profiilide koostamine või teisesteks eesmärkideks kasutamine ei tohi olla lubatud.
1b. Töötaja nõusolek ei anna tööandjale andmete töötlemiseks õiguslikku alust, kui nõusolek ei ole antud vabatahtlikult.
1c. Ilma et see piiraks käesoleva määruse muude sätete kohaldamist, hõlmavad lõikes 1 nimetatud liikmesriikide õigusaktid vähemalt järgmisi miinimumstandardeid:
a) töötajate andmete töötlemine ilma töötajaid sellest teavitamata ei ole lubatud. Erandina esimesest lausest võivad liikmesriigid, kehtestades asjakohased kustutamise tähtajad, lubada õigusaktiga andmete töötlemist juhul, kui dokumenteeritud tõendite alusel võib eeldada, et töötaja on pannud töösuhtes toime kuriteo või eeskirjade raske rikkumise, andmete kogumine on vajalik selle uurimiseks ning andmete kogumise viis ja ulatus on eesmärki silmas pidades vajalik ja proportsionaalne. Igal ajal peab olema tagatud töötajate privaatsus ja eraelu puutumatus. Juurdlus on pädevate asutuste ülesanne;
b) keelatud on ettevõtte selliste osade avatud optilis-elektrooniline ja/või avatud akustilis-elektrooniline jälgimine, millele avalikkusel puudub juurdepääs ja mida töötaja kasutab peamiselt oma eraelu korraldamiseks, eelkõige hügieeni-, riietus-, puhke- ja magamisruumides. Varjatud jälgimine on igal juhul keelatud;
c) kui ettevõtted või ametiasutused koguvad või töötlevad arstlike läbivaatuste ja/või sobivuskatsete raames isikuandmeid, peavad nad kandidaadile või töövõtjale eelnevalt selgitama, millisel eesmärgil neid andmeid kasutatakse, ning tagama, et need tehakse andmesubjektile seejärel koos tulemustega teatavaks ja neid selgitatakse nõudmise korral. Andmete kogumine geenitestide ja -analüüside eesmärgil on põhimõtteliselt keelatud;
d) selle, kas ja mil määral on telefoni, e-posti, interneti ja muude telekommunikatsiooniteenuste kasutamine lubatud ka eraotstarbel, võib reguleerida kollektiivlepinguga. Kui kollektiivlepinguga reguleerimine puudub, sõlmib tööandja vastava kokkuleppe vahetult töötajaga. Kui erakasutus on lubatud, on sellest tulenevate andmeliiklusandmete töötlemine lubatud eelkõige andmete turvalisuse tagamiseks, telekommunikatsioonivõrkude ja telekommunikatsiooniteenuste nõuetekohase toimimise tagamiseks ning arveldusteks.
Erandina kolmandast lausest võivad liikmesriigid, kehtestades asjakohased kustutamise tähtajad, lubada õigusaktiga andmete töötlemist juhul, kui dokumenteeritud tõendite alusel võib eeldada, et töötaja on pannud töösuhtes toime kuriteo või eeskirjade raske rikkumise, andmete kogumine on vajalik selle uurimiseks ning andmete kogumise viis ja ulatus on eesmärki silmas pidades vajalik ja proportsionaalne Igal ajal peab olema tagatud töötajate era- ja intiimelu puutumatus; Juurdlus on pädevate asutuste ülesanne;
e) töötaja isikuandmeid, eeskätt delikaatseid andmeid nagu poliitiline meelsus ning liikmelisus ja tegevus ametiühingus, ei tohi ühelgi juhul kasutada töötajate lisamiseks nn musta nimekirja ning nende tulevase töölevõtmise keelamiseks või takistamiseks. Töösuhte kontekstis on keelatud nn mustade nimekirjade töötlemine ja kasutamine, nende koostamine ja edastamine. Liikmesriigid viivad selle lõike tõhusaks rakendamiseks läbi kontrolle ja võtavad kasutusele artikli 79 lõikele 6 vastavad asjakohased meetmed.
1d. Töötajate isikuandmete edastamine ja töötlemine kontserni õiguslikult eraldiseisvate ettevõtete vahel ning koos õigus- ja maksunõustamisega tegelevate ekspertidega on lubatud, kui see on ettevõtte huvides ja selle eesmärk on sihtotstarbeliste tööprotsesside ja haldustoimingute läbiviimine ning see ei ole vastuolus kaitset vääriva andmesubjekti õiguspäraste huvidega ja põhiõigustega. Töötajate andmete edastamisel kolmandasse riiki ja/või rahvusvahelisele organisatsioonile kohaldatakse V peatükki.
2. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1lõigetele 1 ja 1 b vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.
3. Komisjoni volitatakse vastavalt artiklile 86 pärast Euroopa Andmekaitsenõukogu arvamuse taotlemist võtma vastu delegeeritud õigusakte, millega täpsustatakse selliste isikuandmete töötlemise kaitsemeetmete tingimusi ja nõudeid, millelemille eesmärgid on esitatud lõikes 1. [ME 192]
Artikkel 82a
Töötlemine sotsiaalkindlustuse kontekstis
1. Kooskõlas käesolevas määruses sätestatud eeskirjadega võivad liikmesriigid vastu võtta konkreetseid õigusnorme, milles esitatakse üksikasjalikud tingimused, mille alusel võivad nende avaliku sektori asutused ja talitused töödelda isikuandmeid sotsiaalkindlustuse kontekstis, kui seda tehakse avalikes huvides.
2. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest. [ME 193]
Artikkel 83
Töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil
1. Kooskõlas käesoleva määruse piiressätetega võib isikuandmeid töödelda ajaloo- ja statistikauurimuste ning teadustöö eesmärgil üksnes juhul, kui:
a) seda eesmärki ei ole võimalik saavutada, töödeldes andmeid, mis ei võimalda või mis enam ei võimalda andmesubjekti tuvastada;
b) andmeid, mis võimaldavad seostada teavet tuvastatud või tuvastatava andmesubjektiga, hoitakse eraldi muust teabest, kui seda eesmärki saab nii täitarangeimate tehniliste standardite alusel ning võetakse kõik vajalikud meetmed, et vältida põhjendamatut andmesubjektide taastuvastamist.
2. Ajaloo- ja statistikauurimuste ning teadustööga tegelevad asutused võivad isikuandmeid avaldada või muul viisil avalikustada üksnes juhul, kui:
a) andmesubjekt on andnud nõusoleku vastavalt artiklis 7 sätestatud tingimustele;
b) isikuandmete avaldamine on vajalik teadustöö tulemuste tutvustamiseks või teadustegevuse edendamiseks ja kui andmesubjekti huvid või põhiõigused ja -vabadused ei ole ülimuslikud nende huvide suhtes või
c) andmesubjekt on andmed avalikustanud.
3. Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse isikuandmete töötlemise tingimusi ja nõudeid, mille eesmärgid on esitatud lõigetes 1 ja 2, ja samuti vajalikke piiranguid, mis seatakse andmesubjekti õigusele saada teavet ja omada juurdepääsu, ja esitada üksikasjalikult andmesubjekti õiguste tingimused ja kaitsemeetmed sellistes olukordades. [ME 194]
Artikkel 83a
Isikuandmete töötlemine arhiivides
1. Isikuandmete töötlemine kauem kui on vajalik täitmaks esmase töötlemise eesmärki, milleks neid koguti, on lubatud arhiividel, kelle esmane ülesanne või juriidiline kohustus on koguda, säilitada, korrastada, edastada ja levitada arhivaale avalikes huvides, eriti konkreetsete isikute õiguste alusel või seoses ajaloo, statistika või teadusega. Andmete edastamise ja levitamise ülesannet täidetakse vastavalt liikmesriikides sätestatud eeskirjadele, mis reguleerivad haldusdokumentide ja arhivaalide kättesaadavust, edastamist ja levitamist., ning kooskõlas käesolevas määruses sätestatud eeskirjadega, eelkõige seoses nõusoleku andmisega ja vastuväite esitamisega.
2. Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest. [ME 195]
Artikkel 84
Saladuse hoidmise kohustused
1. Kooskõlas käesoleva määruse piiressätetega tagavad võivad liikmesriigid vastu võtta erieeskirju, et kehtestada artikli 53 lõikes 2selliste erieeskirjade kehtestamise, milles on kehtestatud artiklis 53 sätestatud järelevalveasutuste uurimisvolitused seoses vastutavate töötlejate või volitatud töötlejatega, kellel on siseriiklike õigusaktide või pädevate asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus või muu samaväärne saladuse hoidmise kohustus, kui see on vajalik ja proportsionaalne, et ühildada isikuandmete kaitse õigust ja saladuse hoidmise kohustust. Neid eeskirju kohaldatakse üksnes nende isiklike andmete suhtes, mis vastutav töötleja või volitatud töötleja on saanud saladuse hoidmise kohustusega hõlmatud tegevuse käigus. [ME 196]
2. Iga liikmesriik teavitab hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks komisjoni vastavalt lõikele 1 vastu võetud eeskirjadest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.
Artikkel 85
Kirikute ja usuühenduste suhtes kehtivad isikuandmete kaitse eeskirjad
1. Kui käesoleva määruse jõustumise ajal kohaldavad liikmesriigi kirikud ja usuühendused või -kogukonnad põhjalikkeasjakohaseid eeskirju, mis on seotud üksikisikute kaitsega isikuandmete töötlemisel, võib nende eeskirjade kohaldamist jätkata tingimusel, et need viiakse kooskõlla käesoleva määruse sätetega.
2. Kirikud javõi usuühendused, kes kohaldavad põhjalikkeasjakohaseid eeskirju kooskõlas lõikega 1, näevad ette sõltumatu järelevalveasutuse loomisepeavad saama vastavalt käesoleva määruse VI peatükile artiklile 38 arvamuse vastavuse kohta. [ME 197]
Artikkel 85 a
Inimõiguste austamine
Käesolev määrus ei mõjuta kohustust austada põhiõigusi ja õiguse üldpõhimõtteid, mis on sätestatud ELi lepingu artiklis 6. [ME 198]
Artikkel 85b
Standardvorm
1. Komisjon võib, võttes arvesse eri sektorite ja andmetöötluse olukordade iseärasusi ja vajadusi, kehtestada alljärgneva jaoks standardvormid:
a) artikli 8 lõikes 1 osutatud kontrollitava nõusoleku saamise erimeetodid;
b) artikli 12 lõikes 2 osutatud teabevahetus, sealhulgas elektrooniline teabevahetus;
c) artikli 14 lõigetes 1 kuni 3 osutatud teabe esitamine;
d) artikli 15 lõikes 1 osutatud teabele juurdepääsu taotlemine ja võimaldamine, sealhulgas andmesubjektidele isikuandmete edastamine;
e) artikli 28 lõikes 1 osutatud dokumentatsioon;
f) järelevalveasutuse teavitamine rikkumisest vastavalt artiklile 31 ning artikli 31 lõikes 4 osutatud dokumentatsioon;
g) artiklis 34 osutatud eelnev konsulteerimine ning järelevalveasutuse teavitamine vastavalt artikli 34 lõikele 6.
2. Seejuures võtab komisjon asjakohased meetmed mikro-, väikeste ja keskmise suurusega ettevõtete suhtes.
3. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega. [ME 199]
X PEATÜKK
DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID
Artikkel 86
Delegeeritud volituste rakendamine
1. Komisjonile antud õiguse suhtes võtta vastu delegeeritud õigusakte kohaldatakse käesolevas artiklis sätestatud tingimusi.
2. Alates käesoleva määruse jõustumisest antakse komisjonile määramata ajaks artikli 6 lõikes 5, artikli 8 lõikes 3, artikli 9 lõikes 3, artikli 12 lõikes 5, volitused võtta vastu artikli 14 lõikes 7, artikli 15 lõikes 313 a lõikes 5, artikli 17 lõikes 9, artikli 20 lõikes 6, artikli 22 lõikes 4, artikli 23 lõikes 3, artikli 26 lõikes 5, artikli 28 lõikes 5, artikli 30 lõikes 3, artikli 31 lõikes 5, artikli 32 lõikes 5, artikli 33 lõikes 6, artikli 34 lõikes 8, artikli 35 lõikes 11, artikli 3738 lõikes 24, artikli 39 lõikes 2, artikli 41 lõikes 3, artikli 41 lõikes 5, artikli 43 lõikes 3, artikli 44 lõikes 7, artikli 79 lõikes 67, artikli 81 lõikes 3, ja artikli 82 lõikes 3 artikli 83 lõikes 3 osutatud volituste delegeeriminedelegeeritud õigusakte. [ME 200]
3. Euroopa Parlament ja nõukogu võivad artikli 6 lõikes 5, artikli 8 lõikes 3, artikli 9 lõikes 3, artikli 12 lõikes 5, artikli 1413 a lõikes 75, artikli 15 lõikes 3, artikli 17 lõikes 9, artikli 20 lõikes 6, artikli 22 lõikes 4, artikli 23 lõikes 3, artikli 26 lõikes 5, artikli 28 lõikes 5, artikli 30 lõikes 3, artikli 31 lõikes 5, artikli 32 lõikes 5, artikli 33 lõikes 6, artikli 34 lõikes 8, artikli 35 lõikes 11, artikli 3738 lõikes 24, artikli 39 lõikes 2, artikli 41 lõikes3, artikli 41 lõikes 5, artikli 43 lõikes 3, artikli 44 lõikes 7, artikli 79 lõikes 67, artikli 81 lõikes 3, ja artikli 82 lõikes 3 artikli 83 lõikes 3 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust. [ME 201]
4. Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.
5. Vastavalt artikli 6 lõikele 5, artikli 8 lõikele 3, artikli 9 lõikele 3, artikli 12 lõikele 5, artikli 1413 a lõikele 75, artikli 15 lõikele 3, artikli 17 lõikele 9, artikli 20 lõikele 6, artikli 22 lõikele 4, artikli 23 lõikele 3, artikli 26 lõikele 5, artikli 28 lõikele 5, artikli 30 lõikele 3, artikli 31 lõikele 5, artikli 32 lõikele 5, artikli 33 lõikele 6, artikli 34 lõikele 8, artikli 35 lõikele 11, artikli 3738 lõikele 24, artikli 39 lõikele 2, artikli 43 lõikele 3, artikli 44 lõikele 7, artikli 79 lõikele 67, artikli 81 lõikele 3, ja artikli 82 lõikele 3 artikli 83 lõikele 3 vastu võetud delegeeritud aktidakt jõustuvad vaid siis, kui Euroopa Parlament ega nõukogu ei ole nende suhtes vastuväiteid esitanud kahe kuu jooksul alates õigusakti teatavakstegemisest Euroopa Parlamendile ja nõukogule või kui enne selle ajavahemiku lõppemist Euroopa Parlament ja nõukogu teavitavad komisjoni vastuväidete puudumisest. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahekuue kuu võrra. [ME 202]
Artikkel 87
Komiteemenetlus
1. Komisjoni abistab komitee. Kõnealune komitee on komitee määruse (EL) nr 182/2011 tähenduses.
2. Kui on viidatud käesolevale lõikele, kohaldatakse määruse (EL) nr 182/2011 artiklit 5.
3. Kui on viidatud käesolevale lõikele, kohaldatakse määruse (EL) nr 182/2011 artiklit 8 koostoimes nimetatud määruse artikliga 5.[ME 203]
XI PEATÜKK
LÕPPSÄTTED
Artikkel 88
Direktiivi 95/46/EÜ kehtetuks tunnistamine
1. Direktiiv 95/46/EÜ tunnistatakse kehtetuks.
2. Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale määrusele. Viiteid direktiivi 95/46/EÜ artikli 29 alusel loodud töörühmale üksikisikute kaitseks seoses isikuandmete töötlemisega käsitatakse viidetena käesoleva määrusega loodud Euroopa Andmekaitsenõukogule.
Artikkel 89
Seos direktiiviga 2002/58/EÜ ja selle muutmine
1. Käesoleva määrusega ei panda füüsilistele ega juriidilistele isikutele lisakohustusi isikuandmete töötlemise suhtes, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega üldkasutatavates sidevõrkudes Euroopa Liidus ja mis on seotud küsimustega, mille puhul kehtivad nende suhtes direktiivis 2002/58/EÜ sätestatud erikohustused, millel on sama eesmärk.
2. Direktiivi 2002/58/EÜ artikli 1 lõige 2 ning artiklid 4 ja 15 jäetakse välja. [ME 204]
2a. Komisjon esitab viivitamata ja hiljemalt artikli 91 lõikes 2 osutatud kuupäevaks ettepaneku isikuandmete töötlemist ja eraelu kaitset elektroonilises sides reguleeriva õigusraamistiku ülevaatamise kohta, et tagada vastavus käesolevale määrusele ning tagada sidusad ja ühtsed õigusaktid isikuandmete kaitse alase põhiõiguse tagamiseks liidus. [ME 205]
Artikkel 89a
Seos määrusega (EÜ) nr 45/2001 ja selle muutmine
1. Käesolevas määruses kehtestatud eeskirju kohaldatakse isikuandmete töötlemise suhtes liidu institutsioonides, organites ja asutustes küsimuste puhul, mille suhtes ei kohaldata määruses (EÜ) nr 45/2001 sätestatud lisaeeskirju.
2. Komisjon esitab viivitamata ja hiljemalt artikli 91 lõikes 2 osutatud kuupäevaks ettepaneku isikuandmete töötlemist liidu institutsioonides, organites ja asutustes reguleeriva õigusraamistiku ülevaatamise kohta. [ME 206]
Artikkel 90
Hindamine
Komisjon esitab korrapäraste ajavahemike järel Euroopa Parlamendile ja nõukogule käesoleva määruse hindamise ja läbivaatamise kohta aruande. Esimene aruanne esitatakse hiljemalt neli aastat pärast käesoleva määruse jõustumist. Järgnevad aruanded esitatakse seejärel iga nelja aasta tagant. Komisjon esitab vajaduse korral asjakohased ettepanekud käesoleva määruse muutmiseks ning teiste õigusaktide kohandamiseks, eelkõige võttes arvesse infotehnoloogia ja infoühiskonna arengut. Aruanded avalikustatakse.
Artikkel 91
Jõustumine ja kohaldamine
1. Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
...,
Euroopa Parlamendi nimel Nõukogu nimel
president eesistuja
Lisa – Artiklis 13 a osutatud üksikasjade esitamine
1) Võttes arvesse punktis 6 osutatud proportsioone, sätestatakse üksikasjad alljärgnevalt:
2) Punkt 1 tabeli teise veeru pealkirjaga „OLULINE TEAVE” ridades vormindatakse rasvases kirjas järgmised sõnad:
a) sõna „koguta“ teise veeru esimeses reas;
b) sõna „säilitata“ teise veeru teises reas;
c) sõna „töödeldakse“ teise veeru kolmandas reas;
d) sõna „levitata“ teise veeru neljandas reas;
e) sõnad „müüda ega anta rendile“ teise veeru viiendas reas;
f) sõna „krüpteerimata“ teise veeru kuuendas reas.
3) Võttes arvesse punktis 6 osutatud proportsioone, tuleb punktis 1 toodud tabeli kolmanda veeru pealkirjaga „TÄIDETUD” ridasid täiendada kooskõlas punktis 4 sätestatud tingimustega alljärgnevalt esitatud kahest graafilisest kujundist ühega:
a)
b)
4)
a) Kui isikuandmeid ei koguta rohkem kui on vaja iga kindla töötlemistoimingu eesmärgil, siis punktis 1 toodud tabeli kolmanda veeru esimesse ritta tuleb punktis 3a osutatud graafiline kujutis.
b) Kui isikuandmeid kogutakse rohkem kui on vaja iga kindla töötlemistoimingu eesmärgil, siis punktis 1 toodud tabeli kolmanda veeru esimesse ritta tuleb punktis 3b osutatud graafiline kujutis.
c) Kui isikuandmeid ei säilitata rohkem kui vaja iga kindla töötlemistoimingu eesmärgil, siis punktis 1 toodud tabeli kolmanda veeru teise ritta tuleb punktis 3a osutatud graafiline kujutis.
d) Kui isikuandmeid kogutakse rohkem kui iga kindla töötlemistoimingu teostamiseks minimaalselt vaja, siis punktis 1 toodud tabeli kolmanda veeru teise ritta tuleb punktis 3b osutatud graafiline kujutis.
e) Kui isikuandmeid ei töödelda muudel kui nende kogumise aluseks olnud eesmärkidel, siis punktis 1 toodud tabeli kolmanda veeru kolmandasse ritta tuleb punktis 3a osutatud graafiline kujutis.
f) Kui isikuandmeid töödeldakse muudel kui nende kogumise aluseks olnud eesmärkidel, siis punktis 1 toodud tabeli kolmanda veeru kolmandasse ritta tuleb punktis 3b osutatud graafiline kujutis.
g) Kui isikuandmeid levitatakse äritegevusega seotud kolmandatele isikutele, siis punktis 1 toodud tabeli kolmanda veeru neljandasse ritta tuleb punktis 3a osutatud graafiline kujutis.
h) Kui isikuandmeid ei koguta rohkem kui vaja iga kindla töötlemistoimingu eesmärgil, siis punktis 1 toodud tabeli 1 kolmanda veeru neljandasse ritta tuleb punktis 3b osutatud graafiline kujutis.
i) Kui isikuandmeid ei müüda või ei anta rendile, siis punktis 1 toodud tabeli kolmanda veeru viiendasse ritta tuleb punktis 3a osutatud graafiline kujutis.
j) Kui isikuandmeid müüakse või antakse rendile, siis punktis 1 toodud tabeli kolmanda veeru viiendasse ritta tuleb punktis 3b osutatud graafiline kujutis.
k) Kui isikuandmeid ei säilitata krüpteerimata kujul, siis punktis 1 toodud tabeli kolmanda veeru kuuendasse ritta tuleb punktis 3a osutatud graafiline kujutis.
l) Kui isikuandmeid säilitatakse krüpteerimata kujul, siis punktis 1 toodud tabeli kolmanda veeru kuuendasse ritta tuleb punktis 3b osutatud graafiline kujutis.
5) Punktis 1 toodud graafiliste kujutiste etalonvärvid on Pantone must nr 7547 ja punane nr 485. Punktis 3a toodud graafilise kujutise etalonvärv on Pantone roheline nr 370. Punktis 3b toodud graafilise kujutise etalonvärv on Pantone punane nr 485.
6) Tabeli suurendamisel või vähendamisel tuleb kinni pidada järgnevalt esitatud joonise proportsioonidest:
Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31).
Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1).
Euroopa Parlamendi ja nõukogu 8. juuni 2000. aasta direktiiv 2000/31/EÜ infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta) (ELT L 178, 17.7.2000, lk 1).
Euroopa Parlamendi ja nõukogu 16. detsembri 2008. aasta määrus (EÜ) nr 1338/2008 rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta (ELT L 354, 31.12.2008, lk 70).
Euroopa Parlamendi ja nõukogu 6. mai 2009. aasta direktiiv 2009/38/EÜ Euroopa töönõukogu asutamise või töötajate teavitamise ja nendega konsulteerimise korra sisseseadmise kohta liikmesriigiülestes ettevõtetes või kontsernides (ELT L 122, 16.5.2009, lk 28).
Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).
Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).
Euroopa Parlamendi ja nõukogu 31. märtsi 2004. aasta direktiiv 2004/18/EÜ ehitustööde riigihankelepingute, asjade riigihankelepingute ja teenuste riigihankelepingute sõlmimise korra kooskõlastamise kohta (ELT L 134, 30.4.2004, lk 114).
Euroopa Parlamendi ja nõukogu 31. märtsi 2004. aasta direktiiv 2004/17/EÜ, millega kooskõlastatakse vee-, energeetika-, transpordi- ja postiteenuste sektoris tegutsevate ostjate hankemenetlused (ELT L 134, 30.4.2004, lk 1).
Euroopa Parlamendi ja nõukogu 30. mai 2001. aasta määrus (EÜ) nr 1049/2001 üldsuse juurdepääsu kohta Euroopa Parlamendi, nõukogu ja komisjoni dokumentidele (ELT L 145, 31.5.2001, lk 43).
Euroopa Parlamendi ja nõukogu 4. aprilli 2001. aasta direktiiv 2001/20/EÜ liikmesriikide õigus- ja haldusnormide ühtlustamise kohta, mis käsitlevad hea kliinilise tava rakendamist inimtervishoius kasutatavate ravimite kliinilistes uuringutes (ELT L 121, 1.5.2001, lk 34).