EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 31995L0046

Euroopan parlamentin ja neuvoston direktiivi 95/46/EY annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta

OJ L 281, 23.11.1995, p. 31–50 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)
Special edition in Czech: Chapter 13 Volume 015 P. 355 - 374
Special edition in Estonian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Latvian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Lithuanian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Hungarian Chapter 13 Volume 015 P. 355 - 374
Special edition in Maltese: Chapter 13 Volume 015 P. 355 - 374
Special edition in Polish: Chapter 13 Volume 015 P. 355 - 374
Special edition in Slovak: Chapter 13 Volume 015 P. 355 - 374
Special edition in Slovene: Chapter 13 Volume 015 P. 355 - 374
Special edition in Bulgarian: Chapter 13 Volume 017 P. 10 - 29
Special edition in Romanian: Chapter 13 Volume 017 P. 10 - 29
Special edition in Croatian: Chapter 13 Volume 007 P. 88 - 107

Legal status of the document No longer in force, Date of end of validity: 24/05/2018; Kumoaja 32016R0679

ELI: http://data.europa.eu/eli/dir/1995/46/oj

31995L0046

Euroopan parlamentin ja neuvoston direktiivi 95/46/EY annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta

Virallinen lehti nro L 281 , 23/11/1995 s. 0031 - 0050


EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI 95/46/EY annettu 24 päivänä lokakuuta 1995,

yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan yhteisön perustamissopimuksen ja erityisesti sen 100 a artiklan,

ottavat huomioon komission ehdotuksen (1),

ottavat huomioon talous- ja sosiaalikomitean lausunnon (2),

noudattavat perustamissopimuksen 189 b artiklassa määrättyä menettelyä (3),

sekä katsovat, että

1) perustamissopimuksessa, sellaisena kuin se on muutettuna sopimuksella Euroopan unionista, esitettyjen yhteisön tavoitteiden mukaisesti toteutetaan Euroopan kansojen yhä läheisempi liitto, luodaan läheisemmät yhteydet yhteisön jäsenvaltioiden välille, turvataan yhteisellä toiminnalla taloudellinen ja sosiaalinen edistys poistamalla Eurooppaa jakavat raja-aidat, edistetään kansojen elinolojen jatkuvaa parantamista, turvataan ja lujitetaan rauhaa ja vapautta sekä edistetään demokratiaa jäsenvaltioiden valtiosäännössä ja laeissa tunnustettuihin perusoikeuksiin sekä Euroopan yleissopimukseen ihmisoikeuksien ja perusvapauksien suojaamiseksi,

2) tietojenkäsittelyjärjestelmät on tehty palvelemaan ihmistä; järjestelmiä käytettäessä on kunnioitettava yksilöiden perusoikeuksia ja -vapauksia heidän kansalaisuudestaan tai asuinpaikastaan riippumatta, erityisesti oikeutta yksityisyyteen, ja osallistuttava taloudelliseen ja sosiaaliseen kehitykseen, kaupan kehittämiseen sekä yksilöiden hyvinvoinnin lisäämiseen,

3) sellaisten sisämarkkinoiden toteuttaminen ja toiminta, joilla taataan tavaroiden, henkilöiden, palvelujen ja pääomien vapaa liikkuvuus perustamissopimuksen 7 a artiklan mukaisesti, edellyttävät paitsi sitä, että henkilötietoja voidaan vapaasti siirtää jäsenvaltioiden sisällä, myös yksilöiden perusoikeuksien turvaamista,

4) taloudellisen ja sosiaalisen toiminnan eri aloilla yhteisössä turvaudutaan yhä useammin henkilötietojen käsittelyyn; tietotekniikan kehittyminen helpottaa merkittävästi kyseisten tietojen käsittelyä ja niiden vaihtoa,

5) perustamissopimuksen 7 a artiklassa tarkoitettu sisämarkkinoiden toteuttamisesta ja toiminnasta aiheutuva taloudellinen ja sosiaalinen yhdentyminen johtaa välttämättä henkilötietojen kansainvälisen siirron tuntuvaan kasvuun kaikessa jäsenvaltioiden yksityisen tai julkisen sektorin taloudellisessa ja sosiaalisessa toiminnassa; henkilötietojen vaihdon kehittämistä eri jäsenvaltioihin sijoittautuneiden yritysten välillä kannustetaan; yhteisön oikeuden mukaisesti jäsenvaltioiden viranomaisia kehotetaan toimimaan yhteistyössä ja vaihtamaan keskenään henkilötietoja, jotta ne voisivat täyttää velvollisuutensa tai suorittaa tehtäviä jonkin toisen jäsenvaltion viranomaisten puolesta sisämarkkinoiden muodostamalla alueella, jolla ei ole sisäisiä rajoja,

6) lisäksi tieteellisen ja teknisen yhteistyön lisääntyminen sekä yhteisön uusien televiestintäverkkojen yhteensovitettu toteuttaminen edellyttävät henkilötietojen kansainvälistä liikkuvuutta ja helpottavat sitä,

7) henkilötietojen käsittelyä koskevat jäsenvaltioiden väliset erot yksilöiden oikeuksien ja vapauksien suojassa, erityisesti oikeudessa yksityisyyteen, voivat estää kyseisten tietojen siirron tietyn jäsenvaltion alueelta toisen jäsenvaltion alueelle; tämän vuoksi nämä erot voivat muodostua esteeksi monelle yhteisön taloudelliselle toiminnalle, vääristää kilpailua ja estää viranomaisia suorittamasta yhteisön oikeuden mukaisia velvollisuuksiaan; nämä suojaa koskevat erot johtuvat kansallisten lakien, asetusten ja hallinnollisten määräysten välisistä eroista,

8) henkilötietojen liikkuvuuden esteiden poistamiseksi yksilöiden oikeuksien ja vapauksien suojan tason kyseisten tietojen käsittelyssä on oltava sama kaikissa jäsenvaltioissa; ottaen huomioon erityisesti asiaan sovellettavien kansallisten lainsäädäntöjen tämänhetkiset eroavaisuudet ja tarve yhteensovittaa jäsenvaltioiden lainsäädännöt, jotta henkilötietojen kansainvälistä kulkua säänneltäisiin yhdenmukaisella tavalla ja perustamissopimuksen 7 a artiklassa tarkoitetun sisämarkkinoiden tavoitteen mukaisesti, tätä sisämarkkinoiden kannalta erityisen tärkeää tavoitetta ei voida saavuttaa ainoastaan jäsenvaltioiden toiminnalla; tämän vuoksi lainsäädäntöjen lähentämiseen pyrkivä yhteisön toiminta on tarpeen,

9) ottaen huomioon kansallisten lainsäädäntöjen lähentymisestä aiheutuneen tietosuojan vastaavuuden jäsenvaltiot eivät enää voi asettaa esteitä henkilötietojen vapaalle liikkuvuudelle välillään yksilöiden oikeuksien ja vapauksien, erityisesti yksityisyyttä koskevan oikeuden, suojan perusteella; jäsenvaltioilla on käytettävissään toimenpidemarginaali, jonka rajoissa talouselämän osapuolet ja työmarkkinaosapuolet voivat direktiivin täytäntöönpanon yhteydessä toimia; näin ollen ne voivat kansallisessa lainsäädännössään vahvistaa tietojenkäsittelyn laillisuuden yleiset edellytykset; näin toimiessaan jäsenvaltiot pyrkivät parantamaan lainsäädäntönsä tällä hetkellä takaamaa tietosuojaa; kyseisen toimenpidemarginaalin rajoissa ja yhteisön oikeuden mukaisesti direktiivin täytäntöönpanossa voi esiintyä eroavaisuuksia, ja tällä voi olla vaikutusta tietojen liikkuvuuteen jäsenvaltion sisällä ja yhteisössä,

10) henkilötietojen käsittelyä koskevien kansallisten lainsäädäntöjen tavoitteena on taata perusoikeuksien ja -vapauksien kunnioittaminen, erityisesti yksityisyyttä koskevan oikeuden kunnioittaminen, joka tunnustetaan myös ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn Euroopan yleissopimuksen 8 artiklassa ja yhteisön oikeuden yleisissä periaatteissa; tämän vuoksi lainsäädäntöjen lähentäminen ei saa johtaa lainsäädännöllä turvattavan tietosuojan heikentymiseen, vaan sillä on päinvastoin varmistettava tietosuojan korkea taso yhteisössä,

11) tähän direktiiviin sisältyvissä periaatteissa yksilöiden oikeuksien ja vapauksien suojasta, erityisesti yksityisyyttä koskevan oikeuden suojasta, täsmennetään ja laajennetaan 28 päivänä tammikuuta 1981 allekirjoitettuun Euroopan neuvoston yleissopimukseen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä kuuluvia periaatteita,

12) tietosuojaa koskevia periaatteita on sovellettava kaikenlaiseen henkilötietojen käsittelyyn, siltä osin kuin henkilötietojen käsittelystä vastuussa olevan toiminta kuuluu yhteisön oikeuden soveltamisalaan; periaatteita ei sovelleta luonnollisen henkilön suorittamaan tietojenkäsittelyyn yksinomaan yksityisissä tai henkilökohtaisissa asioissa, joita ovat kirjeenvaihto tai osoitteiston pitäminen,

13) Euroopan unionista tehdyn sopimuksen V ja VI osastossa tarkoitetut yleistä turvallisuutta, puolustusta, valtion turvallisuutta ja valtion toimintaa rikosoikeuden alalla koskevat toimet eivät kuulu yhteisön oikeuden soveltamisalaan, edellä sanotun kuitenkaan rajoittamatta jäsenvaltioille perustamissopimuksen 56 artiklan 2 kohdan, 57 artiklan ja 100 a artiklan mukaisesti kuuluvien velvoitteiden täyttämistä; henkilötietojen käsittely, joka on tarpeen valtion taloudellisen hyvinvoinnin turvaamiseksi, ei kuulu tämän direktiivin soveltamisalaan, jos kyseinen tietojenkäsittely liittyy valtion turvallisuutta koskeviin asioihin,

14) ottaen huomioon tietoyhteiskuntaan liittyvän, kuva- ja äänimateriaalia sisältävien, luonnollisia henkilöitä koskevien tietojen keräämis-, siirtämis-, käsittely-, tallennus-, säilyttämis- ja välitystekniikan tämänhetkisen kehityksen tärkeyden, tätä direktiiviä olisi sovellettava kyseisten tietojen käsittelyyn,

15) kyseisiä tietoja koskeva käsittely kuuluu tämän direktiivin soveltamisalaan ainoastaan, jos tietojenkäsittely on automaattista tai jos käsiteltävät tiedot sisältyvät tai myöhemmin sisällytetään erityisten yksilöitä koskevien perusteiden mukaan järjestettyyn rekisteriin, siten että mahdollistetaan kyseessä olevien henkilötietojen vaivaton saanti,

16) kuva- ja äänimateriaalia sisältävien tietojen käsittely, esimerkiksi videovalvonta, ei kuulu tämän direktiivin soveltamisalaan, jos käsittely toteutetaan yleistä turvallisuutta, puolustusta, valtion turvallisuutta tai rikosoikeuden alalla tapahtuvaa valtion toimintaa varten tai muuta sellaista toimintaa varten, joka ei kuulu yhteisön oikeuden soveltamisalaan,

17) journalistisia tarkoituksia tai kirjallisen tai taiteellisen ilmaisun tarkoituksia varten toteutetun kuva- ja äänimateriaalia sisältävien tietojen käsittelyn osalta, erityisesti audiovisuaalisella alalla, direktiivin periaatteita sovelletaan rajoitetusti 9 artiklan säännösten mukaisesti,

18) jotta yksilö ei jäisi vaille tämän direktiivin mukaisesti taattavaa tietosuojaa, kaiken yhteisössä tapahtuvan henkilötietojen käsittelyn on tapahduttava jonkin jäsenvaltion lainsäädännön mukaisesti; näin ollen tietyssä maassa toimivan rekisterinpitäjän vastuulla oleva tietojenkäsittely olisi suoritettava kyseisen valtion lainsäädännön mukaisesti,

19) rekisterinpitäjän sijoittautuminen jonkin jäsenvaltion alueelle edellyttää tosiasiallista toimintaa ja kiinteää toimipaikkaa; tässä suhteessa ei oikeudellisella muodolla ole merkitystä, olkoon kyseessä sitten pelkkä sivuliike tai tytäryhtiö, jolla on oikeushenkilöllisyys; jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, erityisesti tytäryhtiönsä kautta, kyseisen rekisterinpitäjän on mahdollisten väärinkäytösten estämiseksi varmistettava, että kaikki yritykset täyttävät niiden toimintaan sovellettavan kansallisen oikeuden velvoitteet,

20) tietojenkäsittelyä suorittavan sijoittautuminen kolmanteen maahan ei saa olla esteenä tässä direktiivissä säädetylle yksilöiden suojelulle; tällaisessa tapauksessa tietojenkäsittelyyn on sovellettava sen jäsenvaltion lakia, jonne kyseisessä tietojenkäsittelyssä käytettävät välineet on sijoitettu, ja on taattava, että tässä direktiivissä säädettyjä oikeuksia ja velvoitteita tosiasiallisesti noudatetaan,

21) tällä direktiivillä ei rajoiteta alueperiaatetta koskevien sääntöjen soveltamista rikosasioissa,

22) jäsenvaltiot määrittelevät tietojenkäsittelyn laillisuutta koskevat yleiset edellytykset tarkemmin lainsäädännössään tai tämän direktiivin mukaisesti toteutettavien toimenpiteiden yhteydessä; erityisesti 5 artiklassa sekä 7 ja 8 artiklassa annetaan jäsenvaltioille mahdollisuus, yleisistä säännöistä riippumatta, säätää erityisten alojen tietojenkäsittelyä ja 8 artiklassa tarkoitettuja eri tietoryhmiä koskevista erityisistä edellytyksistä,

23) jäsenvaltioilla on valtuus varmistaa yksilöiden suojelun toteuttaminen sekä yleisellä lailla yksilöiden suojasta henkilötietojen käsittelyssä että alakohtaisilla laeilla, esimerkiksi tilastolaitoksia koskevilla laeilla,

24) tämän direktiivin soveltamisalaan ei kuulu oikeushenkilöiden suojelua tietojenkäsittelyssä koskeva lainsäädäntö,

25) tietosuojan periaatteiden on ilmettävä yhtäältä yksilöiden, julkisten viranomaisten, yritysten, virastojen tai muiden toimielinten niissä velvoitteissa, jotka koskevat erityisesti tietojen laatua, teknistä turvallisuutta, ilmoitusmenettelyä valvontaviranomaiselle ja tietojenkäsittelyn olosuhteita, ja toisaalta rekisteröityjen oikeudessa saada tieto käsittelystä sekä mahdollisuudessa tutustua tietoihin ja pyytää niiden oikaisua, jopa vastustaa käsittelyä tietyissä olosuhteissa,

26) tietosuojaa koskevia periaatteita on sovellettava kaikkiin tunnistettua tai tunnistettavissa olevaa henkilöä koskeviin tietoihin; sen määrittämiseksi, onko henkilö tunnistettavissa, olisi otettava huomioon kaikki kohtuullisesti toteutettavissa olevat keinot, joita joko rekisterinpitäjä tai joku muu voi kyseisen henkilön tunnistamiseksi käyttää; tietosuojaa koskevia periaatteita ei sovelleta tietoihin, jotka on tehty anonyymeiksi siten, ettei rekisteröity enää ole tunnistettavissa; 27 artiklassa tarkoitettuja käytännesääntöjä voidaan käyttää ohjeena, kun pohditaan keinoja tietojen anonyymeiksi tekemistä varten ja niiden säilyttämiseksi muodossa, josta rekisteröidyn henkilöllisyys ei käy ilmi,

27) yksilöiden suojelua on sovellettava sekä automaattiseen että manuaaliseen tietojenkäsittelyyn; itse asiassa tietosuojan soveltamisala ei saa olla riippuvainen käytetystä tekniikasta, koska tällainen riippuvaisuus uhkaisi aiheuttaa vakavia väärinkäytöksiä; manuaalisen tietojenkäsittelyn osalta tämän direktiivin soveltamisalaan kuuluvat kuitenkin ainoastaan rekisterit, eivät järjestämättömät tiedot; erityisesti rekisterin sisällön on oltava erityisten yksilöitä koskevien perusteiden mukaan järjestetty, ja henkilötietojen on oltava helposti saatavilla; 2 artiklan c kohdassa olevan määritelmän mukaisesti kukin jäsenvaltio voi laatia järjestettyjen henkilötietojen määrittelyperusteet ja näiden tietojen saatavuutta sääntelevät perusteet; tämän direktiivin soveltamisalaan eivät missään tapauksessa kuulu sellaiset asiakirjat tai asiakirjojen kokonaisuudet kansilehtineen, joita ei ole järjestetty määriteltyjen perusteiden mukaisesti,

28) henkilötietojen käsittely on suoritettava laillisesti ja asianomaisia henkilöitä kohtaan oikeudenmukaisella tavalla; käsiteltävien tietojen on oltava riittäviä ja olennaisia eikä niitä saa olla liikaa käsittelyn tarkoituksiin nähden; kyseisten tarkoitusten on oltava selkeitä ja perusteltuja ja ne on määriteltävä tietoja kerättäessä; tietojen keräämisen jälkeen määritetyt tarkoitukset eivät voi olla ristiriidassa alkuaan määriteltyjen tarkoitusten kanssa,

29) henkilötietojen myöhempää käsittelyä historiallisia, tilastollisia tai tieteellisiä tarkoituksia varten ei yleensä pidetä ristiriitaisena niiden tarkoitusten kanssa, joita varten tiedot aiemmin kerättiin, sillä edellytyksellä, että jäsenvaltiot toteuttavat asianmukaiset takeet; takeilla on erityisesti estettävä sellaisten tietojen käyttö, joita käytetään yksilöä koskevien toimenpiteiden toteuttamiseen tai päätösten tekemiseen,

30) lisäksi, jotta henkilötietojen käsittely olisi laillista, käsittelyllä on oltava rekisteröidyn suostumus tai käsittelyn on oltava tarpeen rekisteröityä sitovan sopimuksen tekemiseksi tai täytäntöön panemiseksi, lain noudattamiseksi, yleistä etua koskevan tai julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi taikka tietyn henkilön perustellun edun vuoksi, sillä edellytyksellä, että rekisteröidyn etua tai oikeuksia ja vapauksia ei syrjäytetä; erityisesti kyseessä olevien etujen tasapainon varmistamiseksi, siten että tosiasiallinen kilpailu taataan, jäsenvaltiot voivat määritellä edellytykset, joiden mukaisesti henkilötietoja voidaan käyttää ja luovuttaa sivullisille yritysten ja muiden yhteisöjen laillisessa, tavanomaisessa liiketoiminnassa; jäsenvaltiot voivat myös määritellä edellytykset, joiden mukaisesti henkilötietoja voidaan luovuttaa sivullisille kaupallisiin tarkoituksiin tai hyväntekeväisyysjärjestön tai muiden, esimerkiksi luonteeltaan poliittisten, yhdistysten tai säätiöiden markkinointitarkoituksiin noudattaen säännöksiä, joilla annetaan rekisteröidylle mahdollisuus vastustaa häntä koskevien tietojen käsittelyä kustannuksitta ja tarvitsematta esittää perusteluja,

31) henkilötietojen käsittelyä on pidettävä laillisena myös, jos se suoritetaan rekisteröidyn hengen kannalta olennaisten etujen suojelemiseksi,

32) kansallisessa lainsäädännössä säädetään, olisiko yleistä etua tai julkisen vallan käyttämistä koskevan tehtävän suorittamisesta vastuussa olevan rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä,

33) luonteeltaan sellaisia tietoja, jotka voivat loukata yksilön perusvapauksia tai yksityiselämää, ei pitäisi käsitellä, paitsi rekisteröidyn nimenomaisella suostumuksella; tästä kiellosta on kuitenkin nimenomaisesti poikettava erityisten tarpeiden vaatiessa etenkin, jos kyseisten tietojen käsittely suoritetaan terveyteen liittyviä tarkoituksia varten sellaisten henkilöiden toimesta, joita koskee lakisääteinen salassapitovelvollisuus, tai tiettyjen yhdistysten tai säätiöiden sellaista oikeutettua toimintaa varten, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen,

34) jäsenvaltioilla on samoin oltava oikeus tehdä poikkeuksia arkaluonteisten tietojen käsittelykieltoon, jos se on tärkeiden julkista etua koskevien syiden vuoksi perusteltua esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla, erityisesti laadun ja kustannustehokkuuden takaamiseksi, henki- ja sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä, tieteellisessä tutkimuksessa tai julkisessa tilastotoimessa; jäsenvaltioiden on kuitenkin toteutettava erityiset ja asianmukaiset takeet yksilöiden perusoikeuksien ja yksityisyyden suojaamiseksi,

35) lisäksi julkisten viranomaisten suorittama henkilötietojen käsittely virallisesti tunnustettujen uskonnollisten yhdistysten valtiosääntöoikeudessa ja kansainvälisessä julkisoikeudessa säädettyjen päämäärien toteuttamiseksi toteutetaan tärkeän julkisen edun perusteella,

36) jos demokraattisen järjestelmän vaaleihin liittyvä toiminta tietyissä jäsenvaltioissa edellyttää, että poliittiset puolueet keräävät tietoja henkilöiden poliittisista mielipiteistä, kyseisten tietojen käsittely voidaan sallia tärkeän julkisen edun vuoksi sillä edellytyksellä, että asianmukaiset suojatoimet luodaan,

37) journalistisia tarkoituksia tai kirjallisen tai taiteellisen ilmaisun tarkoituksia varten suoritettavassa henkilötietojen käsittelyssä erityisesti audiovisuaalisella alalla on tehtävä poikkeuksia tiettyihin tämän direktiivin säännöksiin tai rajoituksiin, siltä osin kuin ne ovat tarpeen yksilön perusoikeuksien ja ilmaisuvapauden ja erityisesti ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn Euroopan yleissopimuksen 10 artiklan mukaisesti taatun tietojen vastaanottamis- ja luovuttamisvapauden yhteensovittamiseksi; näin ollen jäsenvaltioiden on perusoikeuksien tasapainon luomiseksi säädettävä tarvittavista poikkeuksista ja rajoituksista tietojenkäsittelyn laillisuutta koskevien yleisten toimenpiteiden, tiedonsiirtoa kolmansiin maihin koskevien toimenpiteiden sekä valvontaviranomaisten toimivallan osalta, säätämättä kuitenkaan poikkeuksista toimenpiteisiin, joilla pyritään takaamaan tietojenkäsittelyn turvallisuus; lisäksi alan toimivaltaisille valvontaviranomaisille olisi myönnettävä ainakin tiettyjä jälkikäteisiä oikeuksia, jotka koskevat esimerkiksi kertomuksen julkaisemista tietyin aikavälein tai asian siirtämistä lainkäyttöviranomaisille,

38) oikeudenmukaisen tietojenkäsittelyn osalta edellytetään, että rekisteröidyt tietävät käsittelyn suorittamisesta ja että he saavat asianmukaiset ja täydelliset tiedot tietojen keräämisen olosuhteista, jos tietoja kerätään heiltä itseltään,

39) tietojenkäsittely voi koskea tietoja, joita rekisterinpitäjä ei ole saanut suoraan rekisteröidyltä; lisäksi tietoja voidaan perustellusti luovuttaa sivulliselle, vaikka luovutusta ei olisi ennakoitu kerättäessä tietoja rekisteröidyltä; kaikissa tapauksissa rekisteröidylle on ilmoitettava asiasta tietojen rekisteröintihetkellä tai viimeistään silloin, kun tiedot luovutetaan sivulliselle,

40) tätä velvoitetta ei kuitenkaan tarvitse täyttää, jos rekisteröity jo tietää asiasta; velvoitetta ei myöskään edellytetä, jos kyseisestä rekisteröinnistä tai luovutuksesta on nimenomaisesti lailla säädetty tai asianomaiselle henkilölle ilmoittaminen osoittautuu mahdottomaksi tai jos siitä aiheutuisi kohtuutonta vaivaa, mikä saattaa olla kyseessä silloin, kun käsittely suoritetaan historiallisia, tilastollisia tai tieteellisiä tarkoituksia varten; tässä suhteessa voidaan ottaa huomioon rekisteröityjen määrä, tietojen ikä sekä mahdolliset korvaavat toimenpiteet,

41) kenellä tahansa henkilöllä on oltava oikeus tutustua itseään koskeviin käsiteltäviin tietoihin voidakseen varmistua erityisesti tietojen paikkansapitävyydestä ja niiden käsittelyn laillisuudesta; samasta syystä kenellä tahansa henkilöllä on lisäksi oltava oikeus saada tietoonsa häntä koskevien tietojen automaattiseen käsittelyyn liittyvä logiikka, ainakin 15 artiklan 1 kohdassa tarkoitettujen automatisoitujen päätösten ollessa kyseessä; kyseinen oikeus ei saa aiheuttaa vahinkoa liikesuhteiden luottamuksellisuudelle eikä henkiselle omaisuudelle, ei etenkään ohjelmistojen tekijänoikeudelle; tämän ei kuitenkaan pitäisi johtaa siihen, että rekisteröidylle ei annettaisi minkäänlaista tietoa,

42) rekisteröidyn edun vuoksi tai muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi jäsenvaltiot voivat rajoittaa tiedonsaantioikeutta; ne voivat esimerkiksi tarkentaa, että lääketieteellisiä tietoja voidaan hankkia ainoastaan terveysalan ammattihenkilöstön välityksellä,

43) jäsenvaltiot voivat myös säätää tiedonsaantioikeuden rajoituksista sekä tietyistä rekisterinpitäjän velvoitteista, siltä osin kuin ne ovat tarpeen esimerkiksi valtion turvallisuuden, puolustuksen, yleisen turvallisuuden tai jäsenvaltion tai unionin tärkeän taloudellisen tai rahoituksellisen edun vuoksi sekä rikostutkinnan ja syyteharkinnan vuoksi tai säännellyn ammattitoiminnan ammattietiikan rikkomusten vuoksi; poikkeuksien ja rajoitusten osalta olisi luetteloitava valvonta-, tutkinta- ja sääntelytoimet, jotka ovat tarpeen kolmella edellä mainitulla, yleistä turvallisuutta, taloudellista tai rahoituksellista etua ja rikostorjuntaa koskevalla alalla; näiden kolmen alan yksilöinti ei vaikuta niiden poikkeusten ja rajoitusten laillisuuteen, jotka on tehty valtion turvallisuuteen ja puolustukseen liittyvien syiden vuoksi,

44) jäsenvaltiot voivat yhteisön oikeuden säännösten nojalla joutua tekemään poikkeuksia tämän direktiivin tiedonsaantioikeutta, henkilöiden informointia ja tietojen laatua koskeviin säännöksiin, jotta ne voisivat turvata edellä mainitut tarkoitukset,

45) milloin tietojenkäsittely on laillista yleisen edun, julkisen vallan käytön tai tietyn luonnollisen tai oikeushenkilön oikeutetun edun perusteella, rekisteröidyllä olisi kuitenkin oltava oikeus, erityiseen tilanteeseensa liittyvien pakottavien ja perusteltujen syiden vuoksi, vastustaa henkilötietojensa käsittelyä; jäsenvaltioilla on kuitenkin mahdollisuus säätää vastakkaisia kansallisia säännöksiä,

46) rekisteröityjen oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisaatiotoimenpiteet sekä käsittelyn suunnittelu- että toteuttamisvaiheessa, erityisesti turvallisuuden takaamiseksi ja siten luvattoman käsittelyn estämiseksi; jäsenvaltioiden on valvottava, että rekisterinpitäjät noudattavat näitä toimenpiteitä; toimenpiteillä on taattava asianmukainen turvallisuustaso ottaen huomioon kehityksen taso ja toimenpiteiden kustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien tietojen luonteeseen,

47) kun henkilötietoja sisältävä viesti välitetään sellaisen telepalvelun tai sähköpostin kautta, jonka ainoa tarkoitus on tämäntyyppisten viestien välittäminen, henkilötietojen käsittelystä vastuussa olevana pidetään henkilöä, jolta viesti on peräisin, eikä henkilöä, joka suorittaa välityspalvelun; kyseisten palvelujen suorittajia pidetään kuitenkin yleensä palvelun suorittamiseksi tarvittavien täydentävien henkilötietojen käsittelystä vastuussa olevana,

48) ilmoitusmenettelyn tavoitteena on järjestää käsittelyn tarkoitusten ja pääpiirteiden julkistaminen sen valvomiseksi, että käsittely on tämän direktiivin mukaisten kansallisten säännösten mukainen,

49) välttääkseen tarpeettomia hallintomuodollisuuksia jäsenvaltiot voivat säätää ilmoitusmenettelystä vapauttamisesta tai sen yksinkertaistamisesta sellaisen tietojenkäsittelyn osalta, jonka ei oleteta loukkaavan rekisteröityjen oikeuksia ja vapauksia, jos käsittely on rajoitukset asettaneen jäsenvaltion toteuttamien toimenpiteiden mukaista; samaten jäsenvaltiot voivat säätää vapauttamisesta ja yksinkertaistamisesta, jos rekisterinpitäjän nimeämä henkilö vakuuttaa, että käsittely ei loukkaa rekisteröityjen oikeuksia ja vapauksia; rekisterinpitäjän lukuun toimivan tietojen suojaamisesta vastaavan henkilön, joka on joko rekisterinpitäjän palkkaama tai muu henkilö, on kyettävä toimimaan täysin itsenäisesti,

50) tietojenkäsittelytoimien vapauttamisesta tai yksinkertaistamisesta voidaan säätää, jos toimen ainoa tarkoitus on pitää kansallisen lainsäädännön mukaista julkista rekisteriä, joka on yleisön käytettävissä tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn,

51) ilmoitusvelvoitteesta vapauttaminen tai sen yksinkertaistaminen ei kuitenkaan vapauta rekisterinpitäjää muista hänelle tämän direktiivin mukaisesti kuuluvista velvoitteista,

52) tältä osin toimivaltaisten viranomaisten jälkikäteen suorittamaa valvontaa on yleensä pidettävä riittävänä toimenpiteenä,

53) tiettyihin käsittelytoimiin voi liittyä erityisiä rekisteröidyn oikeuksiin ja vapauksiin liittyviä riskejä toimien luonteen, vaikutuksen tai tarkoitusten vuoksi, kuten yksilöiden jääminen ilman tiettyä oikeutta, etuutta tai sopimusta, tai uuden teknologian erityisen käytön vuoksi; jäsenvaltiot voivat halutessaan määritellä lainsäädännössään tällaiset riskit,

54) ottaen huomioon kaikki yhteiskunnassa tapahtuva tietojenkäsittely sellaisen käsittelyn määrä, johon liittyy kyseisiä riskejä, lienee erittäin rajallinen; tällaisen tietojenkäsittelyn osalta jäsenvaltioiden on säädettävä, että valvontaviranomainen tai henkilötietojen suojaamisesta vastaava yhdessä valvontaviranomaisen kanssa suorittavat ennakkotarkastuksen; ennakkotarkastuksen jälkeen valvontaviranomainen voi kansallisen lainsäädännön mukaisesti antaa lausunnon tai hyväksyä kyseisen tietojenkäsittelyn; tarkastus voidaan suorittaa myös joko kansallisen parlamentin toimenpiteen tai tällaiseen lainsäädännölliseen toimenpiteeseen perustuvan toimenpiteen valmistelun aikana, jotka toimenpiteet määrittävät luonteen ja täsmentävät asianmukaiset suojatoimet,

55) tapauksessa, jossa rekisterinpitäjä ei kunnioita rekisteröidyn oikeuksia, kansallisessa lainsäädännössä on säädettävä oikeussuojakeinoista; rekisterinpitäjän on korvattava yksilöille laittoman tietojenkäsittelyn vuoksi mahdollisesti aiheutuneet vahingot, mutta rekisterinpitäjä voidaan vapauttaa korvausvelvollisuudesta, jos hän osoittaa, ettei hän ole vastuussa vahingosta, erityisesti, jos hän osoittaa rekisteröidyn tehneen virheen tai jos kyseessä on ylivoimainen este; rangaistuksia on sovellettava kaikkiin sekä yksityis- että julkisoikeudellisiin henkilöihin, jotka eivät noudata tämän direktiivin mukaisesti toteutettuja toimenpiteitä,

56) henkilötietojen kansainvälinen siirto on tarpeen kansainvälisen kaupan kehittämiseksi; yhteisössä tällä direktiivillä taattava yksilöiden tietosuoja ei estä henkilötietojen siirtoa kolmansiin maihin, jotka voivat turvata tietosuojan riittävän tason; tietosuojan tason kolmannessa maassa on säilyttävä riittävänä kaikissa siirtoa tai siirtojen sarjaa koskevissa olosuhteissa,

57) toisaalta, jos tietosuojan taso kolmannessa maassa ei ole riittävä, henkilötietojen siirto kyseiseen maahan on kiellettävä,

58) kyseiseen kieltoon on voitava tehdä poikkeuksia sellaisten olosuhteiden vallitessa, jolloin rekisteröity antaa suostumuksensa, jolloin siirto on tarpeen sopimuksen tai oikeudellisen menettelyn yhteydessä, jolloin tärkeän julkisen edun turvaaminen sitä vaatii, esimerkiksi kansainvälisessä vero- tai tullihallinnon tai sosiaaliturva-alan toimivaltaisten viranomaisten tietojenvaihdossa, tai jolloin siirto suoritetaan lailla perustetusta ja yleisön käyttöön tarkoitetusta tai kenen tahansa sellaisen henkilön käyttöön tarkoitetusta rekisteristä, jolla on käyttöön oikeutettu intressi; tällaisessa tapauksessa siirron ei tulisi käsittää tietoja kokonaisuudessaan tai rekisterin sisältämää kokonaista tietoryhmää; jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu intressi, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia,

59) tietosuojan riittämättömän tason parantamiseksi kolmansissa maissa voidaan toteuttaa erityiset toimenpiteet, jos rekisterinpitäjä esittää asianmukaiset takeet; lisäksi on säädettävä menettelystä, joka koskee yhteisön ja kyseessä olevan kolmannen maan välisiä neuvotteluja,

60) joka tapauksessa siirrot kolmansiin maihin voidaan suorittaa vain noudattaen jäsenvaltioiden tämän direktiivin ja erityisesti sen 8 artiklan mukaisesti toteuttamia toimenpiteitä,

61) oman toimivaltansa alueella jäsenvaltioiden ja komission on kannustettava asianomaisia liike-elämän ja teollisuuden aloja laatimaan käytännesäännöt tämän direktiivin täytäntöön panemiseksi noudattaen sen soveltamiseksi säädettyjä kansallisia säännöksiä, ottaen huomioon tietyillä aloilla suoritettavan tietojenkäsittelyn erityispiirteet,

62) jäsenvaltioissa itsenäisesti toimivien valvontaviranomaisten perustaminen on keskeinen tekijä yksilöiden suojelussa henkilötietojen käsittelyssä,

63) kyseisillä viranomaisilla on oltava tarvittavat keinot tehtäviensä suorittamiseksi, olivatpa kyseessä tutkinta- tai toimintavaltuudet, erityisesti silloin, kun viranomaisille esitetään valituksia, tai kelpoisuus olla asianosaisena oikeudenkäynnissä; viranomaisten on edistettävä tietojenkäsittelyn avoimuutta jäsenvaltiossaan,

64) eri jäsenvaltioiden viranomaisia kehotetaan antamaan toisilleen keskinäistä apua tehtäviensä suorittamisessa sen varmistamiseksi, että tietosuojasääntöjä noudatetaan koko Euroopan unionissa,

65) yhteisön tasolla on asetettava yksilöiden suojelua henkilötietojen käsittelyssä koskeva työryhmä, jonka on suoritettava tehtävänsä täysin itsenäisesti; ottaen huomioon työryhmän erityisen luonteen sen on neuvottava komissiota ja osaltaan edistettävä tämän direktiivin mukaisesti toteutettujen kansallisten säännösten yhdenmukaista soveltamista,

66) tietojen siirrossa kolmansiin maihin tämän direktiivin soveltaminen edellyttää täytäntöönpanovallan siirtämistä komissiolle ja tietyn menettelyn luomista neuvoston päätöksessä 87/373/ETY (4) vahvistettujen yksityiskohtaisten sääntöjen mukaisesti,

67) Euroopan parlamentti, neuvosto ja komissio ovat tehneet sopimuksen yhteistoimintatavasta EY:n perustamissopimuksen 189 b artiklassa määrätyn menettelyn mukaisesti annettujen säädösten täytäntöönpanomenettelyssä,

68) tässä direktiivissä esitettyjä periaatteita, jotka koskevat yksilöiden oikeuksien ja vapauksien suojaa henkilötietojen käsittelyssä, erityisesti yksityisyyttä koskevan oikeuden suojaa, voidaan etenkin tietyillä aloilla täydentää tai täsmentää näiden periaatteiden mukaisilla erityisillä säännöillä,

69) jäsenvaltioille olisi annettava enintään kolmen vuoden määräaika tämän direktiivin täytäntöön panemiseksi tarvittavien kansallisten toimenpiteiden voimaantulosta alkaen, jotta jo olemassa olevaan tietojenkäsittelyyn voitaisiin vaiheittain soveltaa edellä tarkoitettuja uusia kansallisia säännöksiä; jotta kyseisiä säännöksiä täytäntöön pantaessa saataisiin parempi kustannus-hyötysuhde, jäsenvaltioille annetaan lisäaika, joka päättyy 12 vuoden kuluttua tämän direktiivin hyväksymispäivästä, jo olemassa olevien manuaalisten rekisterien saattamiseksi direktiivin tiettyjen säännösten mukaisiksi; jos näiden rekisterien sisältämiä tietoja tosiasiallisesti käsitellään tämän pidennetyn siirtymäajan kuluessa, käsittely on saatettava kyseisten säännösten mukaiseksi sen suorittamishetkellä,

70) tämän direktiivin täytäntöön panemiseksi säädettyjen kansallisten säännösten voimaantulon jälkeen rekisteröidyn ei tarvitse uudestaan antaa suostumustaan rekisterinpitäjälle arkaluonteisten tietojen käsittelyyn, joka on tarpeen vapaaehtoisen ja tietoisen suostumuksen perusteella ennen edellä mainittujen säännösten voimaantuloa tehdyn sopimuksen täytäntöön panemiseksi,

71) tällä direktiivillä ei estetä, että jäsenvaltio sääntelee sen alueella asuviin kuluttajiin kohdistettuja markkinointitoimenpiteitä, siltä osin kuin kyseinen sääntely ei koske yksilöiden suojelua henkilötietojen käsittelyssä, ja

72) julkisuusperiaate voidaan ottaa huomioon tämän direktiivin säännöksiä täytäntöön pantaessa,

OVAT ANTANEET TÄMÄN DIREKTIIVIN:

I LUKU YLEISET SÄÄNNÖKSET

1 artikla

Direktiivin tavoite

1. Tämän direktiivin mukaisesti jäsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja -vapautensa ja erityisesti heidän oikeutensa yksityisyyteen.

2. Jäsenvaltiot eivät voi rajoittaa tai kieltää henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä syistä, jotka liittyvät 1 kohdan mukaisesti turvattavaan suojaan.

2 artikla

Määritelmät

Tässä direktiivissä tarkoitetaan

a) "henkilötiedoilla" kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä ("rekisteröity") koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

b) "henkilötietojen käsittelyllä" ("käsittely") kaikenlaisia sellaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen,

c) "henkilötietojen rekisteröintijärjestelmällä" ("rekisteröintijärjestelmä") kaikkia sellaisia järjestettyjä henkilötietojen kokoelmia, joista tiedot ovat saatavilla tietyin perustein, oli kokoelma sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,

d) "rekisterinpitäjällä" luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot; jos käsittelyn tarkoitus ja keinot määritellään kansallisilla tai yhteisön laeilla tai asetuksilla, rekisterinpitäjä tai erityiset perusteet rekisterinpitäjän nimeämiseksi voidaan vahvistaa kansallisten tai yhteisön säännösten mukaisesti,

e) "henkilötietojen käsittelijällä" luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

f) "sivullisella" luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää,

g) "vastaanottajalla" luonnollista tai oikeushenkilöä, julkista viranomaista, virastoa tai muuta toimielintä, jolle tietoja luovutetaan, oli kyseessä sivullinen tai ei; niitä viranomaisia, jotka mahdollisesti saavat tietoja erityisen tutkimuksen yhteydessä, ei kuitenkaan pidetä vastaanottajina,

h) "rekisteröidyn suostumuksella" kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn.

3 artikla

Soveltamisala

1. Tätä direktiiviä sovelletaan osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2. Tätä direktiiviä ei sovelleta henkilötietojen käsittelyyn,

- joka suoritetaan sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten toiminta, josta on määrätty Euroopan unionista tehdyn sopimuksen V ja VI osastossa, ja kaikissa tapauksissa käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta (myös valtion taloudellista hyvinvointia, kun käsittelyoperaatio on sidoksissa valtion turvallisuutta koskeviin kysymyksiin) ja rikosoikeuden alalla tapahtuvaa valtion toimintaa,

- jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa.

4 artikla

Sovellettava kansallinen oikeus

1. Kunkin jäsenvaltion on sovellettava henkilötietojen käsittelyyn kansallisia säännöksiä, jotka se antaa tämän direktiivin mukaisesti, jos

a) käsittely suoritetaan kyseisen jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä; jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita,

b) rekisterinpitäjä ei ole sijoittautunut kyseisen jäsenvaltion alueelle, vaan paikkaan, jossa jäsenvaltion kansallista lakia sovelletaan kansainvälisen julkisoikeuden nojalla,

c) rekisterinpitäjä ei ole sijoittautunut yhteisön alueelle, mutta käyttää henkilötietojen käsittelyssä automatisoituja tai muunlaisia välineitä, jotka sijaitsevat kyseisen jäsenvaltion alueella, paitsi jos näitä välineitä käytetään ainoastaan tiedonsiirtoon yhteisön alueen kautta.

2. Edellä 1 kohdan c alakohdassa tarkoitetussa tapauksessa rekisterinpitäjän on nimettävä kyseisen jäsenvaltion alueelle sijoittautunut edustaja, sanotun kuitenkaan rajoittamatta sellaisia toimia, jotka voitaisiin toteuttaa rekisterinpitäjää itseään vastaan.

II LUKU YLEISET SÄÄNNÖT HENKILÖTIETOJEN KÄSITTELYN LAILLISUUDESTA

5 artikla

Jäsenvaltioiden on määriteltävä henkilötietojen käsittelyn laillisuuden edellytykset tämän luvun säännösten rajoissa.

I JAKSO TIETOJEN LAATUA KOSKEVAT PERIAATTEET

6 artikla

1. Jäsenvaltioiden on säädettävä siitä, että

a) henkilötietoja käsitellään asianmukaisesti ja laillisesti,

b) henkilötiedot kerätään tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä myöhemmin saa käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Myöhempää käsittelyä historiantutkimusta taikka tilastollisia tai tieteellisiä tarkoituksia varten ei pidetä yhteensopimattomana, sillä edellytyksellä, että jäsenvaltiot toteuttavat tarpeelliset suojatoimet,

c) henkilötiedot ovat asianmukaisia, olennaisia eivätkä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja missä niitä myöhemmin käsitellään,

d) henkilötiedot ovat täsmällisiä ja tarvittaessa päivitettyjä; on tehtävä kaikki mahdollinen sen varmistamiseksi, että niihin tarkoituksiin nähden virheelliset tai puutteelliset tiedot, joita varten tiedot kerättiin tai joissa niitä myöhemmin käsitellään, poistetaan tai oikaistaan,

e) henkilötiedot säilytetään muodossa, josta rekisteröity on tunnistettavissa ainoastaan sen ajan, kuin on tarpeen niiden tarkoitusten toteuttamista varten, joita varten tiedot kerättiin tai joissa niitä myöhemmin käsitellään. Jäsenvaltiot toteuttavat niiden henkilötietojen tarpeelliset suojatoimet, joita säilytetään edellä tarkoitettua aikaa kauemmin historiantutkimusta taikka tilastollisia tai tieteellisiä tarkoituksia vartan.

2. Rekisterinpitäjän on huolehdittava 1 kohdan noudattamisesta.

II JAKSO TIETOJENKÄSITTELYN LAILLISUUTTA KOSKEVAT PERIAATTEET

7 artikla

Jäsenvaltioden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan,

a) jos rekisteröity on yksiselitteisesti antanut suostumuksensa, tai

b) jos käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osallisena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä, tai

c) jos käsittely on tarpeen rekisterinpitäjän laillisen velvoitteen noudattamiseksi, tai

d) jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi, tai

e) jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan, tai

f) jos käsittely on tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, paitsi milloin tämän intressin syrjäyttävät rekisteröidyn 1 artiklan 1 kohdan perusteella suojaa tarvitsevat intressit ja perusoikeudet ja -vapaudet.

III JAKSO TIETOJENKÄSITTELYN ERITYISET RYHMÄT

8 artikla

Erityisiä tietoryhmiä koskeva tietojenkäsittely

1. Jäsenvaltioiden on kiellettävä sellaisten henkilötietojen käsittely, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista, sekä terveyteen ja seksuaaliseen käyttäytymiseen liittyvien tietojen käsittely.

2. Edellä 1 kohtaa ei sovelleta, jos

a) rekisteröity on antanut nimenomaisen suostumuksensa kyseiseen käsittelyyn, paitsi jos jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida poistaa rekisteröidyn suostumuksella, tai

b) käsittely on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla, siltä osin kuin se sallitaan kansallisessa lainsäädännössä, jolla säädetään riittävistä suojatoimista, tai

c) käsittely on tarpeen rekisteröidyn tai jonkun toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, tai

d) käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että tietoja ei luovuteta sivullisille ilman rekisteröityjen suostumusta, tai

e) käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi, tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

3. Sitä, mitä 1 kohdassa säädetään, ei sovelleta, jos tietojenkäsittely on tarpeen ennalta ehkäisevää lääketiedettä tai lääketieteellisiä diagnooseja koskevia tarkoituksia varten, hoidon tai käsittelyn suorittamista varten taikka terveydenhuollon palvelujen hallintoa varten ja jos näitä tietoja käsittelee terveydenhuollon ammattikoulutuksen saanut henkilö, jota kansallinen lainsäädäntö tai toimivaltaisten kansallisten viranomaisten asettama salassapitovelvollisuus koskee, tai jos tietoja käsittelee muu henkilö, jolla on vastaava velvoite.

4. Ottaen huomioon tarvittavat suojatoimet jäsenvaltiot voivat, tärkeää yleistä etua koskevasta syystä, toteuttaa muita kuin 2 kohdassa säädettyjä poikkeuksia joko kansallisella lailla tai valvontaviranomaisen päätöksellä.

5. Rikoksiin, tuomioihin tai turvallisuutta koskeviin toimenpiteisiin liittyvää tietojenkäsittelyä voidaan suorittaa ainoastaan julkisen viranomaisen valvonnassa tai, jos kansallisessa lainsäädännössä säädetään erityisistä tarpeellisista suojatoimista, jäsenvaltion myöntämissä näiden suojatoimien kattamissa poikkeuksissa. Täydellistä rikosrekisteriä ei kuitenkaan saa pitää kuin julkisen viranomaisen valvonnassa.

Jäsenvaltiot voivat säätää siitä, että myös hallinnollisiin sanktioihin tai siviiliprosesseihin liittyviä tietoja on käsiteltävä julkisen viranomaisen valvonnassa.

6. Komissiolle on ilmoitettava 4 ja 5 kohdan nojalla toteutetuista 1 kohdan poikkeuksista.

7. Jäsenvaltioiden on määriteltävä olosuhteet, joiden vallitessa henkilönumeroa tai muuta yleistä tunnistetta voidaan käsitellä.

9 artikla

Henkilötietojen käsittely ja ilmaisuvapaus

Jäsenvaltioiden on säädettävä ainoastaan journalistisia tarkoituksia tai taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettua henkilötietojen käsittelyä varten poikkeuksista ja vapautuksista tästä luvusta, IV luvusta ja VI luvusta, ainoastaan jos ne osoittautuvat välttämättömiksi yksityisyyttä koskevan oikeuden ja ilmaisuvapautta koskevien sääntöjen yhteensovittamisessa.

IV JAKSO REKISTERÖIDYN INFORMOINTI

10 artikla

Informointi kerättäessä tietoja rekisteröidyltä

Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän tai hänen edustajansa on toimitettava rekisteröidylle, jolta tietoja kerätään, vähintään jäljempänä esitetyt tiedot, paitsi jos hän jo tietää ne:

a) rekisterinpitäjän henkilöllisyys ja tarvittaessa hänen edustajansa henkilöllisyys,

b) tietojenkäsittelyn tarkoitukset,

c) kaikenlaiset lisätiedot, kuten

- tietojen vastaanottajat tai vastaanottajaryhmät,

- tieto siitä, onko kysymyksiin vastaaminen pakollista vai vapaaehtoista, sekä vastaamatta jättämisen mahdolliset seuraukset,

- onko rekisteröidyllä oikeus saada itseään koskevia tietoja ja oikeus niiden oikaisuun,

siltä osin kuin nämä lisätiedot ovat tarpeen ottaen huomioon erityiset olosuhteet, joissa tiedot kerätään, rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi.

11 artikla

Informointi kerättäessä tietoja muualta kuin rekisteröidyltä

1. Jos tietoja ei ole kerätty rekisteröidyltä itseltään, jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän tai hänen edustajansa on tietoja rekisteröitäessä tai, jos tietoja tullaan luovuttamaan sivulliselle, viimeistään silloin, kun tietoja ensi kerran luovutetaan, toimitettava rekisteröidylle vähintään jäljempänä esitetyt tiedot, paitsi jos hän jo tietää ne:

a) rekisterinpitäjän henkilöllisyys ja tarvittaessa hänen edustajansa henkilöllisyys,

b) tietojenkäsittelyn tarkoitukset,

c) kaikenlaiset lisätiedot, kuten

- kyseessä olevat tietoryhmät,

- tietojen vastaanottajat tai vastaanottajaryhmät,

- onko rekisteröidyllä oikeus saada itseään koskevia tietoja ja oikeus niiden oikaisuun,

siltä osin kuin nämä lisätiedot ovat tarpeen ottaen huomioon erityiset olosuhteet, joissa tietoja käsitellään, rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi.

2. Mitä 1 kohdassa säädetään, ei sovelleta, jos, erityisesti tilastollisia tarkoituksia tai historiallista tai tieteellistä tutkimusta koskevia tarkoituksia varten suoritettavan käsittelyn osalta, tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa tai jos lainsäädännössä nimenomaisesti säädetään tietojen tallentamisesta tai luovuttamisesta. Tällaisissa tapauksissa jäsenvaltioiden on säädettävä tarpeellisista suojatoimista.

V JAKSO REKISTERÖIDYN TIEDONSAANTIOIKEUS

12 artikla

Tiedonsaantioikeus

Jäsenvaltioiden on taattava rekisteröidylle oikeus saada rekisterinpitäjältä

a) vapaasti, kohtuullisin väliajoin ja ilman aiheetonta viivytystä tai aiheettomia kustannuksia

- vahvistus siitä, käsitelläänkö häntä koskevia tietoja vai ei, sekä vähintään tiedot käsittelyn tarkoituksista, käsiteltävistä tietoryhmistä ja tietojen vastaanottajista tai vastaanottajaryhmistä, joille tiedot luovutetaan,

- käsiteltävät tiedot itselleen ymmärrettävässä muodossa sekä kaikki tietojen alkuperästä käytettävissä olevat tiedot,

- tiedot kyseessä olevien tietojen automaattiseen käsittelyyn liittyvästä logiikasta, ainakin 15 artiklan 1 kohdassa tarkoitettujen automatisoitujen päätösten ollessa kyseessä;

b) tapauskohtaisesti, sellaiset tiedot oikaistuiksi, poistetuiksi tai suojatuiksi, joiden käsittely ei ole tämän direktiivin mukaista, erityisesti tietojen puutteellisen tai virheellisen luonteen vuoksi;

c) ilmoitus sivullisille, joille tietoja on luovutettu, kaikenlaisista b kohdan mukaisesti tehdyistä oikaisuista, poistamisista tai suojaamisista, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa.

VI JAKSO POIKKEUKSET JA RAJOITUKSET

13 artikla

Poikkeukset ja rajoitukset

1. Jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla pyritään rajoittamaan 6 artiklan 1 kohdassa, 10 artiklassa, 11 artiklan 1 kohdassa sekä 12 ja 21 artiklassa säädettyjen oikeuksien ja velvoitteiden alaa, jos tällaiset rajoitukset ovat välttämättömiä, jotta varmistettaisiin

a) valtion turvallisuus,

b) puolustus,

c) yleinen turvallisuus,

d) rikosten tai, säännellyn ammattitoiminnan osalta, ammattietiikan rikkomusten torjunta, tutkinta, selvittäminen ja syyteharkinta,

e) jäsenvaltiolle tai Euroopan unionille tärkeä taloudellinen tai rahoituksellinen etu, myös rahaa, talousarviota ja verotusta koskevissa asioissa,

f) valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttämiseen c, d ja e alakohdassa tarkoitetuissa tapauksissa,

g) rekisteröidyn suojelu tai muiden oikeudet ja vapaudet.

2. Ottaen huomioon asianmukaiset oikeudelliset takeet, erityisesti sen, että tietoja ei käytetä tiettyä rekisteröityä koskevien toimenpiteiden toteuttamiseen tai päätösten tekemiseen, jäsenvaltiot voivat, milloin siitä ei ilmeisesti aiheudu vaaraa yksityisyydelle, lainsäädännöllä rajoittaa 12 artiklassa säädettyjä oikeuksia, jos tietoja käsitellään ainoastaan tieteellisessä tarkoituksessa tai säilytetään henkilötietojen muodossa ainoastaan niin kauan, kuin on tarpeen tilastojen luomiseksi.

VII JAKSO REKISTERÖIDYN OIKEUS VASTUSTAA HENKILÖTIETOJENSA KÄSITTELYÄ

14 artikla

Rekisteröidyn oikeus vastustaa henkilötietojensa käsittelyä

Jäsenvaltioiden on turvattava rekisteröidylle oikeus

a) ainakin 7 artiklan e ja f alakohdassa tarkoitetuissa tapauksissa millä hetkellä tahansa vastustaa itseään koskevien tietojen käsittelyä tilanteeseensa liittyvien huomattavan tärkeiden ja perusteltujen syiden vuoksi, paitsi milloin kansallisessa lainsäädännössä toisin säädetään. Jos vastustus on perusteltua, rekisterinpitäjä ei enää saa käsitellä kyseisiä tietoja,

b) pyynnöstä ja korvauksetta vastustaa henkilötietojensa käsittelyä, jonka rekisterinpitäjä on aikonut toteuttaa suoramarkkinointitarkoituksiin, tai tulla informoiduksi asiasta, ennen kuin henkilötietoja ensi kerran luovutetaan sivulliselle tai käytetään sivullisen lukuun suoramarkkinointitarkoituksessa, ja saada nimenomaisesti oikeus korvauksetta vastustaa mainittua luovutusta tai käyttöä.

Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että rekisteröidyt tietävät b alakohdan ensimmäisessä alakohdassa tarkoitetun oikeuden olemassaolosta.

15 artikla

Automatisoidut yksittäispäätökset

1. Jäsenvaltioiden on turvattava kenelle tahansa henkilölle oikeus olla joutumatta sellaisen päätöksen kohteeksi, josta aiheutuisi hänelle oikeudellisia vaikutuksia tai joka vaikuttaisi häneen merkittävällä tavalla ja joka olisi tehty ainoastaan automaattisen tietojenkäsittelyn perusteella ja joka olisi tarkoitettu hänen tiettyjen henkilökohtaisten ominaisuuksiensa, kuten muun muassa hänen ammatillisen suorituskykynsä, luottokelpoisuutensa, luotettavuutensa ja käyttäytymisensä arviointiin.

2. Jollei tämän direktiivin muista säännöksistä muuta johdu, jäsenvaltioiden on säädettävä siitä, että henkilö voi joutua 1 kohdassa tarkoitetun kaltaisen päätöksen kohteeksi, jos

a) tällainen päätös tehdään tietyn sopimuksen tekemisen tai täytäntöönpanon yhteydessä, sillä edellytyksellä, että rekisteröidyn tekemä sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö on täytetty tai että asianmukaisilla toimenpiteillä, kuten antamalla hänelle mahdollisuus ilmaista kantansa, voidaan taata hänen oikeutetun etunsa suojaaminen, tai

b) päätös perustuu lakiin, jolla määritellään rekisteröidyn oikeutetun edun takaavat toimenpiteet.

VIII JAKSO KÄSITTELYN LUOTTAMUKSELLISUUS JA TURVALLISUUS

16 artikla

Käsittelyn luottamuksellisuus

Kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, mukaan lukien käsittelijä itse, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, paitsi lain nojalla.

17 artikla

Käsittelyn turvallisuus

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta, vahingossa tapahtuvalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietojen antamiselta, erityisesti jos käsittely muodostuu tietojen siirtämisestä verkossa, sekä kaikelta muulta laittomalta käsittelyltä.

Ottaen huomioon kehityksen taso ja toimenpiteiden kustannukset on taattava asianmukainen turvallisuuden taso suhteessa käsittelyn riskeihin ja suojattavien tietojen luonteeseen.

2. Jäsenvaltioiden on säädettävä, että jos käsittely suoritetaan rekisterinpitäjän lukuun, tämän on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet käsittelyyn liittyvistä teknisistä ja organisatorisista turvatoimista, ja huolehdittava siitä, että nämä toimet toteutetaan.

3. Kun käsittely suoritetaan rekisterinpitäjän lukuun, käsittelyä on säänneltävä sopimuksella tai oikeudellisella asiakirjalla, joka sitoo käsittelijän rekisterinpitäjään ja jossa erityisesti säädetään siitä, että

- käsittelijä toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti,

- käsittelijä on lisäksi velvollinen noudattamaan 1 kohdassa tarkoitettuja velvoitteita sellaisina kuin ne on määritelty sen jäsenvaltion lainsäädännössä, jonne käsittelijä on sijoittautunut.

4. Todisteiden säilyttämiseksi tietojen suojaamiseen ja 1 kohdassa tarkoitettuja toimenpiteitä koskeviin vaatimuksiin liittyvien sopimusten tai oikeudellisten asiakirjojen osien on oltava kirjallisina tai muussa vastaavassa muodossa.

IX JAKSO ILMOITUSMENETTELY

18 artikla

Velvollisuus ilmoittaa valvontaviranomaiselle

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän tai tarvittaessa hänen edustajansa on tehtävä ilmoitus 28 artiklassa tarkoitetulle valvontaviranomaiselle, ennen kuin toteutetaan kokonaan tai osittain automatisoitu käsittely tai tällaisten käsittelyjen sarja, joilla on sama tarkoitus tai useita toisiinsa liittyviä tarkoituksia.

2. Jäsenvaltiot voivat säätää ilmoitusmenettelyn yksinkertaistamisesta tai siitä poikkeamisesta ainoastaan seuraavissa tapauksissa ja seuraavien edellytysten vallitessa:

- jos käsittelytoimet, ottaen huomioon käsiteltävät tiedot, eivät todennäköisesti loukkaa rekisteröityjen oikeuksia ja vapauksia ja jäsenvaltiot määrittelevät käsittelyn tarkoituksen, käsiteltävät tiedot tai tietoryhmät, rekisteröityjen ryhmän tai ryhmät, tietojen vastaanottajan tai vastaanottajaryhmät ja tietojen säilyttämisajan ja/tai

- jos rekisterinpitäjä kansallisen lainsäädäntönsä mukaisesti nimeää henkilötietojen suojaamisesta vastaavan henkilön, joka huolehtii erityisesti

- tämän direktiivin mukaisesti säädettyjen kansallisten säännösten sisäisen soveltamisen varmistamisesta itsenäisesti,

- rekisterinpitäjän suorittamia käsittelyjä koskevan sellaisen rekisterin pitämisestä, joka sisältää 21 artiklan 2 kohdassa tarkoitetut tiedot,

varmistaen näin, että käsittely ei loukkaa rekisteröityjen oikeuksia ja vapauksia.

3. Jäsenvaltiot voivat säätää siitä, että 1 kohtaa ei sovelleta käsittelyyn, jonka ainoa tarkoitus on pitää lakien tai asetusten mukaista julkista rekisteriä, joka on yleisön käytettävissä tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn.

4. Jäsenvaltiot voivat säätää ilmoitusvelvoitteesta poikkeamisesta tai ilmoituksen yksinkertaistamisesta 8 artiklan 2 kohdan d alakohdassa tarkoitettujen käsittelyjen osalta.

5. Jäsenvaltiot voivat säätää siitä, että manuaalisista henkilötietojen käsittelyistä tai tietystä osasta niitä on ilmoitettava tai että niihin voidaan soveltaa yksinkertaistettua ilmoitusmenettelyä.

19 artikla

Ilmoituksen sisältö

1. Jäsenvaltioiden on täsmennettävä, mitä tietoja ilmoituksessa on annettava. Tietoihin on sisällyttävä vähintään

a) rekisterinpitäjän nimi ja osoite ja tarvittaessa hänen edustajansa nimi ja osoite,

b) käsittelyn tarkoitus tai tarkoitukset,

c) kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä,

d) vastaanottajat tai vastaanottajaryhmät, joille tietoja mahdollisesti luovutetaan,

e) suunnitellut tietojensiirrot kolmansiin maihin,

f) yleiskuvaus, jonka perusteella voidaan alustavasti arvioida 17 artiklan mukaisen käsittelyn turvallisuuden varmistamiseksi toteutettavien toimenpiteiden asianmukaisuutta.

2. Jäsenvaltioiden on säädettävä yksityiskohtaisemmin menettelystä, jota noudatetaan ilmoitettaessa valvontaviranomaiselle 1 kohdassa tarkoitettujen tietojen muuttumisesta.

20 artikla

Ennakkotarkastus

1. Jäsenvaltioiden on määriteltävä käsittelyt, joista saattaa aiheutua erityisiä riskejä rekisteröityjen oikeuksien ja vapauksien suhteen, ja valvottava, että tällaiset käsittelyt tutkitaan ennen niiden toteuttamista.

2. Valvontaviranomaiset tekevät tällaisia ennakkotarkastuksia sen jälkeen, kun ne ovat saaneet ilmoituksen rekisterinpitäjältä tai tietojen suojaamisesta vastaavalta henkilöltä, jonka on epäselvissä tapauksissa neuvoteltava valvontaviranomaisen kanssa.

3. Jäsenvaltiot voivat myös tehdä tällaisen tarkastuksen joko kansallisen parlamentin toimenpiteen tai tällaiseen lainsäädännölliseen toimenpiteeseen perustuvan toimenpiteen valmistelun yhteydessä, jotka määrittävät käsittelyn luonteen ja vahvistavat asianmukaiset suojatoimet.

21 artikla

Käsittelyjen julkistaminen

1. Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet käsittelyjen julkisuuden varmistamiseksi.

2. Jäsenvaltioiden on säädettävä siitä, että valvontaviranomainen pitää rekisteriä 18 artiklan mukaisesti ilmoitetuista käsittelyistä.

Rekisteriin on sisällyttävä vähintään 19 artiklan 1 kohdan a-e alakohdassa luetellut tiedot.

Kuka tahansa voi saada tiedon rekisteritiedoista.

3. Sellaisen käsittelyn osalta, josta ei tarvitse antaa ilmoitusta, jäsenvaltioiden on säädettävä, että rekisterinpitäjä tai muu niiden nimeämä elin luovuttaa 19 artiklan 1 kohdan a-e alakohdassa tarkoitetut tiedot asianmukaisessa muodossa kenelle tahansa niitä pyytävälle henkilölle.

Jäsenvaltiot voivat säätää siitä, että tätä säännöstä ei sovelleta käsittelyyn, jonka ainoana tavoitteena on sellaisen lakien tai asetusten mukaisen julkisen rekisterin pitäminen, joka on yleisön käytettävissä tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn.

III LUKU OIKEUSKEINOT, VASTUU JA SANKTIOT

22 artikla

Oikeuskeinot

Jäsenvaltioiden on säädettävä siitä, että kenellä tahansa henkilöllä on mahdollisuus käyttää oikeussuojakeinoa, jos kyseessä olevaan käsittelyyn sovellettavien kansallisten säännösten mukaisesti hänelle kuuluvia oikeuksia loukataan, sanotun kuitenkaan rajoittamatta sellaisen hallinnollisen keinon soveltamista, johon voidaan turvautua, muun muassa 28 artiklassa tarkoitetun valvontaviranomaisen avulla ennen asian vireillepanoa oikeudessa.

23 artikla

Vastuu

1. Jäsenvaltioiden on säädettävä siitä, että jos kenelle tahansa henkilölle aiheutuu vahinkoa laittomasta käsittelystä tai minkä tahansa toiminnan yhteensopimattomuudesta tämän direktiivin mukaisesti toteutettujen kansallisten toimenpiteiden kanssa, hänellä on oikeus saada rekisterinpitäjältä korvaus aiheutuneesta vahingosta.

2. Rekisterinpitäjä voidaan vapauttaa tästä vastuusta osittain tai kokonaan, jos hän osoittaa, ettei hän ole vastuussa vahingon aiheuttaneesta tapahtumasta.

24 artikla

Sanktiot

Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet tämän direktiivin säännösten täydellisen soveltamisen varmistamiseksi ja määriteltävä erityisesti sanktiot, joita sovelletaan tämän direktiivin mukaisesti säädettyjen säännösten rikkomistapauksissa.

IV LUKU HENKILÖTIETOJEN SIIRTO KOLMANSIIN MAIHIN

25 artikla

Periaatteet

1. Jäsenvaltioiden on säädettävä siitä, että käsiteltävien tai siirron jälkeen käsiteltäviksi tarkoitettujen henkilötietojen siirto kolmanteen maahan voidaan suorittaa ainoastaan, jos kyseisessä kolmannessa maassa taataan tietosuojan riittävä taso, jollei tämän direktiivin muiden säännösten mukaisesti säädetyistä kansallisista säännöksistä muuta johdu.

2. Kolmannessa maassa taattavan tietosuojan tason riittävyyttä on arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta; erityisesti on otettava huomioon tietojen luonne, suunnitellun käsittelyn tai suunniteltujen käsittelyjen tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, kyseisessä kolmannessa maassa voimassa olevat yleiset tai alakohtaiset oikeussäännöt sekä ammattisäännöt ja tässä maassa noudatettavat turvatoimet.

3. Jäsenvaltioiden ja komission on informoitava toisiaan, jos ne arvioivat, että tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa 2 kohdan tarkoittamassa merkityksessä.

4. Jos komissio 31 artiklan 2 kohdassa vahvistetun menettelyn mukaisesti toteaa, että tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa tämän artiklan 2 kohdassa tarkoitetussa merkityksessä, jäsenvaltioiden on toteutettava tarvittavat toimenpiteet kyseiseen kolmanteen maahan kohdistuvien samanluonteisten siirtojenestämiseksi.

5. Komissio aloittaa sopivalla hetkellä neuvottelut 4 kohdan mukaisesti tehdystä toteamuksesta aiheutuneen tilanteen korjaamiseksi.

6. Komissio voi 31 artiklan 2 kohdassa vahvistetun menettelyn mukaisesti todeta, että tietyssä kolmannessa maassa taataan tietosuojan riittävä taso tämän artiklan 2 kohdan tarkoittamassa merkityksessä, mikä johtuu kyseisen maan sisäisestä lainsäädännöstä tai kansainvälisistä sitoumuksista, jotka on tehty erityisesti 5 kohdassa tarkoitettujen neuvottelujen yhteydessä henkilöiden yksityiselämän ja perusoikeuksien ja -vapauksien turvaamiseksi.

Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä.

26 artikla

Poikkeukset

1. Poiketen siitä, mitä 25 artiklassa säädetään, ja jollei erityisissä tapauksissa sovellettavasta kansallisesta lainsäädännöstä muuta johdu, jäsenvaltioiden on säädettävä siitä, että henkilötietojen siirto tai siirtojen sarja sellaiseen kolmanteen maahan, jossa ei taata 25 artiklan 2 kohdassa tarkoitettua tietosuojan riittävää tasoa, voidaan suorittaa sillä edellytyksellä että

a) rekisteröity on yksiselitteisesti antanut suostumuksensa suunniteltuun siirtoon tai

b) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä tai

c) siirto on tarpeen rekisterinpitäjän ja sivullisen välisen sopimuksen tekemiseksi tai täytäntöön panemiseksi rekisteröidyn edun mukaisesti tai

d) siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai

e) siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi tai

f) siirto tehdään julkisesta rekisteristä, joka on lakien ja asetusten säännösten mukaisesti yleisön käytettävissä tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, siltä osin kuin rekisterin käytettävissä olemisen lailliset edellytykset täyttyvät kussakin yksittäisessä tapauksessa.

2. Jäsenvaltio voi hyväksyä henkilötietojen siirron tai siirtojen sarjan sellaiseen kolmanteen maahan, jossa ei taata 25 artiklan 2 kohdassa tarkoitettua tietosuojan riittävää tasoa, jos rekisterinpitäjä antaa riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta sekä vastaavien oikeuksien soveltamisesta, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista; nämä takeet voivat erityisesti johtua soveltuvista sopimuslausekkeista.

3. Kunkin jäsenvaltion on ilmoitettava komissiolle ja muille jäsenvaltioille 2 kohdan mukaisista hyväksymisistään.

Jos toinen jäsenvaltio tai komissio ilmaisee asianmukaisesti perustellun vastalauseensa henkilöiden yksityisyyteen ja perusoikeuksiin ja -vapauksiin viitaten, komission on toteutettava asianmukaiset toimenpiteet 31 artiklan 2 kohdassa mainitun menettelyn mukaisesti.

Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä.

4. Jos komissio päättää 31 artiklan 2 kohdassa mainitun menettelyn mukaisesti, että tietyillä mallisopimuslausekkeilla annetaan riittävät tämän artiklan 2 kohdassa tarkoitetut takeet, jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä.

V LUKU KÄYTÄNNESÄÄNNÖT

27 artikla

1. Jäsenvaltioiden ja komission on edistettävä sellaisten käytännesääntöjen laatimista, joiden tarkoituksena on jäsenvaltioiden tämän direktiivin mukaisesti säätämien kansallisten säännösten moitteeton soveltaminen ottaen huomioon eri alojen erityiset piirteet.

2. Jäsenvaltioiden on säädettävä siitä, että ammatinharjoittajien yhdistykset ja muita rekisterinpitäjäryhmiä edustavat muut järjestöt, jotka ovat laatineet kansallisia sääntöluonnoksia tai joilla on tarkoitus muuttaa tai laajentaa olemassa olevia kansallisia sääntöjä, voivat antaa sääntöluonnoksensa kansallisen viranomaisen tutkittavaksi.

Jäsenvaltioiden on säädettävä siitä, että kyseinen viranomainen varmistaa muun muassa, ovatko sille annetut luonnokset tämän direktiivin mukaisesti säädettyjen kansallisten säännösten mukaisia. Jos viranomainen katsoo aiheelliseksi, se voi hankkia asiasta rekisteröityjen tai heidän edustajiensa näkemykset.

3. Yhteisön sääntöluonnokset ja olemassa olevien yhteisön sääntöjen muutokset tai laajennukset voidaan antaa 29 artiklassa tarkoitetun työryhmän käsittelyyn. Työryhmä päättää muun muassa sille annettujen sääntöluonnosten yhdenmukaisuudesta tämän direktiivin mukaisesti säädettyjen kansallisten säännösten kanssa. Jos se katsoo aiheelliseksi, se voi hankkia rekisteröityjen tai heidän edustajiensa lausuntoja. Komissio voi taata työryhmän hyväksymien sääntöjen asianmukaisen julkisuuden.

VI LUKU VALVONTAVIRANOMAINEN JA TIETOSUOJATYÖRYHMÄ

28 artikla

Valvontaviranomainen

1. Kunkin jäsenvaltion on säädettävä siitä, että jäsenvaltioiden tämän direktiivin mukaisesti toteuttamien toimenpiteiden soveltamista sen alueella valvoo yksi tai useampi julkinen viranomainen.

Näiden viranomaisten on hoidettava tehtäviään itsenäisesti.

2. Kunkin jäsenvaltion on säädettävä siitä, että valvontaviranomaisia kuullaan henkilöiden oikeuksien ja vapauksien suojaamista henkilötietojen käsittelyssä koskevia lainsäädännöllisiä ja hallinnollisia toimenpiteitä suunniteltaessa.

3. Kullakin valvontaviranomaisella on erityisesti oltava:

- tutkintavaltuudet, kuten valtuudet saada käsiteltäviä tietoja ja kerätä kaikki valvontatehtävänsä suorittamiseksi tarvittavat tiedot,

- tehokkaat toimintavaltuudet, kuten esimerkiksi valtuudet 20 artiklan mukaisesti antaa lausuntoja ennen käsittelyn toteuttamista ja varmistaa näiden lausuntojen asianmukainen julkistaminen taikka valtuudet määrätä tietojen suojaamisesta, poistamisesta tai tuhoamisesta tai kieltää käsittely väliaikaisesti tai lopullisesti taikka valtuudet antaa rekisterinpitäjälle huomautus tai varoitus taikka valtuudet saattaa asioita käsiteltäväksi kansalliselle parlamentille tai muille poliittisille elimille,

- valtuudet olla asianosaisena oikeudenkäynnissä, jos tämän direktiivin mukaisesti toteutettuja kansallisia toimenpiteitä rikotaan, tai valtuudet saattaa nämä rikkomukset lainkäyttöviranomaisten tietoon.

Valvontaviranomaisen päätöksistä, jotka antavat aihetta valituksiin, voi valittaa tuomioistuimeen.

4. Kuka tahansa henkilö tai häntä edustava yhdistys voi esittää valvontaviranomaiselle oikeuksiensa ja vapauksiensa suojelua henkilötietojen käsittelyn osalta koskevan vaateen. Rekisteröidylle ilmoitetaan vaateen seurauksista.

Kuka tahansa henkilö voi erityisesti esittää valvontaviranomaiselle vaateen käsittelyn laillisuuden tarkastamisesta sovellettaessa tämän direktiivin 13 artiklan mukaisesti toteutettuja kansallisia toimenpiteitä. Joka tapauksessa henkilölle on ilmoitettava, että tarkastus on suoritettu.

5. Valvontaviranomaisen on laadittava kertomus toiminnastaan säännöllisin väliajoin. Kyseinen kertomus on julkistettava.

6. Riippumatta kyseessä olevaan käsittelyyn sovellettavasta kansallisesta oikeudesta valvontaviranomainen on toimivaltainen käyttämään jäsenvaltionsa alueella valtuuksia, jotka sille kuuluvat 3 kohdan mukaisesti. Toisen jäsenvaltion viranomainen voi pyytää valvontaviranomaista käyttämään valtuuksiaan.

Valvontaviranomaisten on oltava yhteistyössä keskenään siinä määrin kuin on tarpeen tehtäviensä suorittamiseksi, erityisesti vaihtamalla hyödyllisiä tietoja.

7. Jäsenvaltioiden on säädettävä siitä, että valvontaviranomaisten jäsenillä ja henkilöstöllä on myös toimintansa päättymisen jälkeen velvollisuus pitää salassa luottamukselliset tiedot.

29 artikla

Tietosuojatyöryhmä

1. Perustetaan tietosuojatyöryhmä, jäljempänä "työryhmä".

Työryhmä on luonteeltaan neuvoa-antava ja toiminnassaan itsenäinen.

2. Työryhmä koostuu kunkin jäsenvaltion nimeämän valvontaviranomaisen tai -viranomaisten edustajasta, yhteisön toimielimiä ja elimiä varten perustetun viranomaisen tai perustettujen viranomaisten edustajasta sekä komission edustajasta.

Työryhmän kunkin jäsenen nimeää se toimielin, viranomainen tai viranomaiset, jota jäsen edustaa. Jos jäsenvaltio on nimennyt useita valvontaviranomaisia, nämä nimeävät yhteisen edustajan. Tämä pätee myös yhteisön toimielimiä ja elimiä varten perustettujen viranomaisten osalta.

3. Työryhmä tekee päätöksensä valvontaviranomaisten edustajien yksinkertaisella enemmistöllä.

4. Työryhmä valitsee puheenjohtajansa. Puheenjohtajan toimikausi on kaksi vuotta. Hänet voidaan valita uudelleen.

5. Työryhmän sihteeristötehtävistä huolehtii komissio.

6. Työryhmän vahvistaa työjärjestyksensä.

7. Työryhmä käsittelee asiat, jotka puheenjohtaja on merkinnyt asialistaan joko omasta aloitteestaan tai valvontaviranomaisten edustajan tai komission pyynnöstä.

30 artikla

1. Työryhmän tehtävänä on

a) tutkia kaikki tämän direktiivin mukaisesti toteutettujen kansallisten toimenpiteiden soveltamista koskevat kysymykset toimenpiteiden yhdenmukaiseksi soveltamiseksi,

b) antaa komissiolle lausunto tietosuojan tasosta yhteisössä ja kolmansissa maissa,

c) neuvoa komissiota kaikissa ehdotetuissa tätä direktiiviä koskevissa muutoksissa, kaikissa lisätoimenpiteissä tai erityistoimenpiteissä luonnollisten henkilöiden oikeuksien ja vapauksien suojaamiseksi henkilötietojen käsittelyssä ja kaikissa muissa ehdotetuissa yhteisön toimenpiteissä, jotka vaikuttavat kyseisiin oikeuksiin ja vapauksiin,

d) antaa lausunto yhteisön tasolla laadituista käytännesäännöistä.

2. Jos työryhmä toteaa, että jäsenvaltioiden lainsäädäntöjen ja menettelyjen välillä on eroja, jotka saatavat loukata henkilöiden tasapuolista tietosuojaa yhteisössä, sen on ilmoitettava asiasta komissiolle.

3. Työryhmä voi omasta aloitteestaan esittää suosituksia henkilöiden tietosuojaan yhteisössä liittyvissä kysymyksissä.

4. Työryhmän lausunnot ja suositukset toimitetaankomissiolle ja 31 artiklassa tarkoitetulle komitealle.

5. Komissio ilmoittaa työryhmälle toimista, jotka se on toteuttanut työryhmän lausuntojen ja suositusten perusteella. Tätä varten se laatii kertomuksen, joka toimitetaan myös Euroopan parlamentille ja neuvostolle. Kertomus julkaistaan.

6. Työryhmä laatii vuosittain kertomuksen luonnollisten henkilöiden tietosuojan tilanteesta yhteisössä ja kolmansissa maissa; kertomus toimitetaan komissiolle, Euroopan parlamentille ja neuvostolle. Kertomus julkaistaan.

VII LUKU YHTEISÖN TÄYTÄNTÖÖNPANOTOIMENPITEET

31 artikla

Komitea

1. Komissiota avustaa komitea, joka muodostuu jäsenvaltioiden edustajista ja jonka puheenjohtajana on komission edustaja.

2. Komission edustaja tekee komitealle ehdotuksen tarvittavista toimenpiteistä. Komitea antaa lausuntonsa ehdotuksesta määräjassa, jonka puheenjohtaja voi asettaa asian kiireellisyyden mukaan.

Lausunto annetaan perustamissopimuksen 148 artiklan 2 kohdassa määrätyllä enemmistöllä. Komiteaan kuuluvien jäsenvaltioiden edustajien äänet painotetaan mainitussa artiklassa määrätyllä tavalla. Puheenjohtaja ei osallistu äänestykseen.

Komissio päättää toimenpiteistä, joita sovelletaan välittömästi. Jos toimenpiteet eivät kuitenkaan ole komitean lausunnon mukaisia, komissio ilmoittaa niistä viipymättä neuvostolle. Siinä tapauksessa noudatetaan seuraavaa:

- komissio lykkää päättämiensä toimenpiteiden soveltamista määräajaksi, joka on kolme kuukautta ilmoituksen tekopäivästä,

- neuvosto voi määräenemmistöllä päättää asiasta toisin edellisessä luetelmakohdassa tarkoitetun ajan kuluessa.

LOPPUSÄÄNNÖKSET

32 artikla

1. Jäsenvaltioiden on saatettava tämän direktiivin soveltamiseksi tarvittavat lait, asetukset ja hallinnolliset määräykset voimaan viimeistään kolmen vuoden kuluttua sen hyväksymisestä.

Näissä jäsenvaltioiden toteuttamissa toimenpiteissä on viitattava tähän direktiiviin tai niihin on liitettävä tällainen viittaus, kun ne virallisesti julkaistaan. Jäsenvaltioiden on säädettävä siitä, miten viittaukset tehdään.

2. Jäsenvaltioiden on varmistettava, että sellainen käsittely, joka jo on käynnissä ennen tämän direktiivin mukaisesti säädettyjen kansallisten säännösten voimaantulopäivää, saatetaan näiden säännösten mukaiseksi viimeistään kolmen vuoden kuluessa kyseisestä päivästä.

Poiketen siitä, mitä edellisessä alakohdassa säädetään, jäsenvaltiot voivat säätää, että tämän direktiivin mukaisesti säädettyjen kansallisten säännösten voimaantulopäivänä manuaalisissa rekistereissä jo olevien tietojen käsittely on suoritettava tämän direktiivin 6, 7 ja 8 artiklan mukaisesti 12 vuoden kuluessa direktiivin hyväksymispäivästä. Jäsenvaltioiden on kuitenkin taattava rekisteröidylle oikeus saada pyynnöstä ja erityisesti hänen käyttäessään tiedonsaantioikeuttaan puutteelliset, virheelliset tai rekisterinpitäjän lainmukaisten tarkoitusten kanssa ristiriitaisella tavalla tallennetut tiedot oikaistuiksi tai poistetuiksi taikka suojatuiksi.

3. Poiketen siitä, mitä 2 kohdassa säädetään, jäsenvaltiot voivat, ottaen huomioon riittävät turvatoimet, säätää siitä, että anosastaan historiallista tutkimusta varten säilytettäviä tietoja ei saateta tämän direktiivin 6, 7 ja 8 artikla mukaisiksi.

4. Jäsenvaltioiden on annettava komissiolle tiedoksi tämän direktiivin soveltamisalalla antamansa kansalliset säännökset.

33 artikla

Komissio antaa neuvostolle ja Euroopan parlamentille säännöllisesti kertomuksen tämän direktiivin soveltamisesta, ensimmäisen kerran enintään kolme vuotta 32 artiklan 1 kohdassa tarkoitetun päivämäärän jälkeen, ja liittää tarvittaessa kertomukseensa aiheellisia muutosehdotuksia. Kertomus julkaistaan.

Komissio tutkii erityisesti, miten tätä direktiiviä sovelletaan luonnollisiin henkilöihin liittyvien ääni- ja kuvamateriaalia sisältävien tietojen käsittelyyn, sekä esittää aiheellisia ja tarpeellisiksi osoittautuvia ehdotuksia ottaen huomioon tietotekniikassa ja tietoyhteiskunnassa tapahtuneen kehityksen.

34 artiklan

Tämä direktiivi on osoitettu kaikille jäsenvaltioille.

Tehty Luxemburgissa 24 päivänä lokakuuta 1995.

Euroopan parlamentin puolesta

K. HÄNSCH

Puhemies

Neuvoston puolesta

L. ATIENZA SERNA

Puheenjohtaja

(1) EYVL N:o C 277, 5.11.1990, s. 3, ja

EYVL N:o C 311, 27.11.1992, s. 30

(2) EYVL N:o C 159, 17.6.1991, s. 38

(3) Euroopan parlamentin lausunto, annettu 11 päivänä maaliskuuta 1992 (EYVL N:o C 94, 13.4.1992, s. 198), ja vahvistettu 2 päivänä joulukuuta 1993 (EYVL N:o C 342, 20.12.1993, s. 30), neuvoston yhteinen kanta, vahvistettu 20 päivänä helmikuuta 1995 (EYVL N:o C 93, 13.4.1995, s. 1) ja Euroopan parlamentin päätös, tehty 15 päivänä kesäkuuta 1995 (EYVL N:o C 166, 3.7.1995)

(4) EYVL N:o L 197, 18.7.1987, s. 33

Top