Regulation (EC) No 45/2001 of the European Parliament and of the Council

Euroopa Parlamendi Ja Nõukogu määrus (EÜ) nr 45/2001,

of 18 December 2000

18. detsember 2000,

on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data

üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,

võttes arvesse Euroopa Ühenduse asutamislepingut, eelkõige selle artiklit 286,

Having regard to the Treaty establishing the European Community, and in particular Article 286 thereof,

võttes arvesse komisjoni ettepanekut, [1]

Having regard to the proposal from the Commission(1),

võttes arvesse majandus- ja sotsiaalkomitee arvamust, [2]

Having regard to the opinion of the Economic and Social Committee(2),

toimides vastavalt asutamislepingu artiklis 251 sätestatud menetlusele [3]

Acting in accordance with the procedure laid down in Article 251 of the Treaty(3),

ning arvestades järgmist:

Whereas:

(1) Asutamislepingu artikliga 286 nähakse ette, et ühenduse institutsioonide ja asutuste suhtes kohaldatakse ühenduse õigusakte, mis käsitlevad üksikisikute kaitset isikuandmete töötlemisel ja nende andmete vaba liikumist.

(1) Article 286 of the Treaty requires the application to the Community institutions and bodies of the Community acts on the protection of individuals with regard to the processing of personal data and the free movement of such data.

(2) Täielikult väljakujundatud isikuandmete kaitse süsteemi jaoks ei piisa andmesubjektide õiguste ning andmetöötlejate kohustuste kindlaksmääramisest, vaid tarvis on ka asjakohaseid sanktsioone üleastujate suhtes ning jälgimist sõltumatu järelevalveorgani poolt.

(2) A fully-fledged system of protection of personal data not only requires the establishment of rights for data subjects and obligations for those who process personal data, but also appropriate sanctions for offenders and monitoring by an independent supervisory body.

(3) Asutamislepingu artikli 286 lõikega 2 nähakse ette sõltumatu järelevalveorgani loomine, mis vastutab eespool nimetatud ühenduse õigusaktide ühenduse institutsioonide ja asutuste suhtes kohaldamise jälgimise eest.

(3) Article 286(2) of the Treaty requires the establishment of an independent supervisory body responsible for monitoring the application of such Community acts to Community institutions and bodies.

(4) Asutamislepingu artikli 286 lõikega 2 nähakse ette kõikide muude vajalike sätete vastuvõtmine.

(4) Article 286(2) of the Treaty requires the adoption of any other relevant provisions as appropriate.

(5) On tarvis määrust, mis näeks ette täitmisele pööratavad üksikisiku õigused, määratleks ühenduse institutsioonide ja asutuste vastutavate töötlejate andmetöötlusalased kohustused ning looks sõltumatu järelevalveorgani, mis vastutab ühenduse institutsioonides ja asutustes toimuva isikuandmete töötluse jälgimise eest.

(5) A Regulation is necessary to provide the individual with legally enforceable rights, to specify the data processing obligations of the controllers within the Community institutions and bodies, and to create an independent supervisory authority responsible for monitoring the processing of personal data by the Community institutions and bodies.

(6) Konsulteeritud on üksikisikute kaitsmist isikuandmete töötlemisel käsitleva töörühmaga, mis on loodud Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) [4] artikli 29 kohaselt.

(6) The Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up under Article 29 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(4) has been consulted.

(7) Kaitsmisele kuuluvad need isikud, kelle isikuandmeid ükskõik mis põhjustel töödeldakse ühenduse institutsioonides või asutustes, näiteks seetõttu, et nad nendes institutsioonides või asutustes töötavad.

(7) The persons to be protected are those whose personal data are processed by Community institutions or bodies in any context whatsoever, for example because they are employed by those institutions or bodies.

(8) Andmete kaitsmise põhimõtteid tuleb kohaldada identifitseeritud või identifitseeritava isiku kohta käiva igasuguse teabe suhtes. Isiku identifitseeritavuse kindlakstegemisel tuleb arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib andmesubjekti identifitseerimiseks tõenäoliselt kasutada. Kaitsmise põhimõtteid ei kohaldata teabe suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik identifitseerida.

(8) The principles of data protection should apply to any information concerning an identified or identifiable person. To determine whether a person is identifiable, account should be taken of all the means likely to be reasonably used either by the controller or by any other person to identify the said person. The principles of protection should not apply to data rendered anonymous in such a way that the data subject is no longer identifiable.

(9) Direktiiviga 95/46/EÜ nõutakse, et liikmesriigid kaitseksid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele, et tagada isikuandmete vaba liikumine ühenduses.

(9) Directive 95/46/EC requires Member States to protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data, in order to ensure the free flow of personal data in the Community.

(10) Euroopa Parlamendi ja nõukogu 15. detsembri 1997. aasta direktiiv 97/66/EÜ, [5] milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset telekommunikatsioonisektoris, täpsustab ja täiendab direktiivi 95/46/EÜ telekommunikatsioonisektoris isikuandmete töötlemise osas.

(10) Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector(5) specifies and adds to Directive 95/46/EC with respect to the processing of personal data in the telecommunications sector.

(11) Direktiivi 95/46/EÜ täpsustamiseks ja täiendamiseks on ette nähtud ka mitmed muud ühenduse meetmed valdkondades, millega need seonduvad, sealhulgas siseriiklike asutuste ja komisjoni vahelise vastastikuse abiga seotud meetmed.

(11) Various other Community measures, including measures on mutual assistance between national authorities and the Commission, are also designed to specify and add to Directive 95/46/EC in the sectors to which they relate.

(12) Isikuandmete töötlemisel tuleks tagada üksikisikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu ühenduses.

(12) Consistent and homogeneous application of the rules for the protection of individuals' fundamental rights and freedoms with regard to the processing of personal data should be ensured throughout the Community.

(13) Eesmärk on tagada nii tõhus üksikisikute põhiõiguste ja -vabaduste kaitsega seotud eeskirjade kohaldamine kui ka isikuandmete vaba liikumine liikmesriikide ja ühenduse institutsioonide või asutuste vahel, samuti ühenduse institutsioonide ja asutuste vahel seoses nende asjaomase pädevuse teostamisega.

(13) The aim is to ensure both effective compliance with the rules governing the protection of individuals' fundamental rights and freedoms and the free flow of personal data between Member States and the Community institutions and bodies or between the Community institutions and bodies for purposes connected with the exercise of their respective competences.

(14) Selleks tuleks vastu võtta ühenduse institutsioonide ja asutuste jaoks siduvad meetmed. Neid meetmeid tuleks kohaldada kõikides ühenduse institutsioonides ja asutustes toimuva isikuandmete töötlemise suhtes, kui see toimub täielikult või osaliselt ühenduse õigusaktidega hõlmatud toimingute teostamiseks.

(14) To this end measures should be adopted which are binding on the Community institutions and bodies. These measures should apply to all processing of personal data by all Community institutions and bodies insofar as such processing is carried out in the exercise of activities all or part of which fall within the scope of Community law.

(15) Kui töötlemine ühenduse institutsioonides või asutustes toimub seoses toimingutega, mis ei kuulu käesoleva määruse reguleerimisalasse, eelkõige seoses Euroopa Liidu lepingu V ja VI jaotises ettenähtud toimingutega, tagatakse üksikisikute põhiõigused ja -vabadused Euroopa Liidu lepingu artiklit 6 arvesse võttes. Dokumentidele, sealhulgas isikuandmeid sisaldavatele dokumentidele juurdepääsu reguleeritakse eeskirjadega EÜ asutamislepingu artikli 255 alusel, mille reguleerimisala hõlmab Euroopa Liidu lepingu V ja VI peatükki.

(15) Where such processing is carried out by Community institutions or bodies in the exercise of activities falling outside the scope of this Regulation, in particular those laid down in Titles V and VI of the Treaty on European Union, the protection of individuals' fundamental rights and freedoms shall be ensured with due regard to Article 6 of the Treaty on European Union. Access to documents, including conditions for access to documents containing personal data, is governed by the rules adopted on the basis of Article 255 of the EC Treaty the scope of which includes Titles V and VI of the Treaty on European Union.

(16) Meetmeid ei tuleks kohaldada asutuste suhtes, mis ei kuulu ühenduse raamistikku, samuti ei peaks järelevalve isikuandmete töötlemise üle nimetatud asutustes kuuluma Euroopa andmekaitseinspektori pädevusse.

(16) The measures should not apply to bodies established outside the Community framework, nor should the European Data Protection Supervisor be competent to monitor the processing of personal data by such bodies.

(17) Üksikisikute tõhus kaitsmine seoses isikuandmete töötlemisega liidus eeldab, et asjaomaste erinevate õiguslike toimingute suhtes kohaldatavad eeskirjad ja toimingud oleksid järjekindlad. Selle juures on esimeseks sammuks isikuandmete kaitsmise põhimõtete väljatöötamine kriminaalasjades tehtava õigusalase koostöö ja politsei- ning tollikoostöö valdkondades ning Europoli konventsiooni, infotehnoloogia tollialasteks eesmärkideks kasutamise konventsiooni ja Schengeni konventsiooniga loodud ühiste järelevalveorganite sekretariaadi loomine.

(17) The effectiveness of the protection of individuals with regard to the processing of personal data in the Union presupposes the consistency of the relevant rules and procedures applicable to activities pertaining to different legal contexts. The development of fundamental principles on the protection of personal data in the fields of judicial cooperation in criminal affairs and police and customs cooperation, and the setting-up of a secretariat for the joint supervisory authorities established by the Europol Convention, the Convention on the Use of Information Technology for Customs Purposes and the Schengen Convention represent a first step in this regard.

(18) Käesolev määrus ei tohiks mõjutada liikmesriikidele direktiividega 95/46/EÜ ja 97/66/EÜ pandud õigusi ja kohustusi. Selle eesmärk ei ole muuta olemasolevaid menetlusi ja tavasid, mida liikmesriigid seaduslikul alusel kohaldavad riigi julgeoleku alal, rahutuste vältimiseks või kriminaalkuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks kooskõlas Euroopa ühenduste privileegide ja immuniteetide protokolli ning rahvusvahelise õigusega.

(18) This Regulation should not affect the rights and obligations of Member States under Directives 95/46/EC and 97/66/EC. It is not intended to change existing procedures and practices lawfully implemented by the Member States in the field of national security, prevention of disorder or prevention, detection, investigation and prosecution of criminal offences in compliance with the Protocol on Privileges and Immunities of the European Communities and with international law.

(19) Kui ühenduse institutsioonid ja asutused leiavad, et jälgida tuleks liikmesriigi telekommunikatsioonivõrkude kaudu edastatavaid teateid, peaksid nad liikmesriikide pädevaid asutusi sellest teavitama ning järgima kehtivaid siseriiklikke sätteid.

(19) The Community institutions and bodies should inform the competent authorities in the Member States when they consider that communications on their telecommunications networks should be intercepted, in keeping with the national provisions applicable.

(20) Ühenduse institutsioonide ja asutuste suhtes kohaldatavad sätted peaksid olema kooskõlas sätetega, mis on kehtestatud seoses siseriiklike õigusaktide ühtlustamisega või muu ühenduse tegevuspoliitikaga, eelkõige vastastikuse abistamise valdkonnas. Siiski võib osutuda vajalikuks teha nimetatud sätetesse täpsustusi ja täiendusi, et tagada kaitse isikuandmete töötlemisel ühenduse institutsioonides ja asutustes.

(20) The provisions applicable to the Community institutions and bodies should correspond to those provisions laid down in connection with the harmonisation of national laws or the implementation of other Community policies, notably in the mutual assistance sphere. It may be necessary, however, to specify and add to those provisions when it comes to ensuring protection in the case of the processing of personal data by the Community institutions and bodies.

(21) See kehtib nende isikute õiguste kohta, kelle andmeid töödeldakse, töötlevate ühenduse institutsioonide ja asutuste kohustuste kohta ning volituste kohta, mis antakse käesoleva määruse nõuetekohase kohaldamise eest vastutavale sõltumatule järelevalveorganile.

(21) This holds true for the rights of the individuals whose data are being processed, for the obligations of the Community institutions and bodies doing the processing, and for the powers to be vested in the independent supervisory authority responsible for ensuring that this Regulation is properly applied.

(22) Andmesubjektile antud õigused ning nende teostamine ei tohiks mõjutada vastutavale töötlejale pandud kohustusi.

(22) The rights accorded the data subject and the exercise thereof should not affect the obligations placed on the controller.

(23) Sõltumatu järelevalveorgan peaks järelevalvefunktsioone teostama kooskõlas asutamislepingu ning inimõiguste ja põhivabadustega. Ta peaks uurimist korraldama privileegide ja immuniteetide protokolli ning Euroopa ühenduste ametnike personalieeskirjade ja ühenduste muude teenistujate teenistustingimuste kohaselt.

(23) The independent supervisory authority should exercise its supervisory functions in accordance with the Treaty and in compliance with human rights and fundamental freedoms. It should conduct its enquiries in compliance with the Protocol on Privileges and Immunities and with the Staff Regulations of Officials of the European Communities and the conditions of employment applicable to Other Servants of the Communities.

(24) Tuleb võtta vajalikud tehnilised meetmed, et sõltumatu järelevalveorgani kaudu võimaldada juurdepääs andmekaitseametnike peetavatele töötlustoimingute registritele.

(24) The necessary technical measures should be adopted to allow access to the registers of processing operations carried out by Data Protection Officers through the independent supervisory authority.

(25) Sõltumatu järelevalveorgani otsused andmetöötlustoimingutega seotud erandite, tagatiste, lubade ning tingimuste kohta, nagu need on määratletud käesolevas määruses, tuleks avaldada tegevusaruandes. Iga-aastasest tegevusaruandest eraldi võib sõltumatu järelevalveorgan avaldada aruandeid konkreetsete küsimuste kohta.

(25) The decisions of the independent supervisory authority regarding exemptions, guarantees, authorisations and conditions relating to data processing operations, as defined in this Regulation, should be published in the activities report. Independently of the publication of an annual activities report, the independent supervisory authority may publish reports on specific subjects.

(26) Teatavaid töötlemistoiminguid, mille puhul võib eeldada erilist ohtu andmesubjektide õigustele ja vabadustele, peab sõltumatu järelevalveorgan eelnevalt kontrollima. Eelkontrolliga seoses esitatud arvamus, sealhulgas tähtajaks vastamata jätmisest tulenev arvamus ei tohiks mõjutada sõltumatu järelevalveorgani võimalust hiljem kõnealuse töötlemistoimingu suhtes oma volitusi kasutada.

(26) Certain processing operations likely to present specific risks with respect to the rights and freedoms of data subjects are subject to prior checking by the independent supervisory authority. The opinion given in the context of such prior checking, including the opinion resulting from failure to reply within the set period, should be without prejudice to the subsequent exercise by the independent supervisory authority of its powers with regard to the processing operation in question.

(27) Isikuandmete töötlemine ühenduse institutsioonides ja asutustes seoses üldistes huvides täidetavate ülesannetega hõlmab nende institutsioonide ja asutuste juhtimiseks ja toimimiseks vajalikku isikuandmete töötlemist.

(27) Processing of personal data for the performance of tasks carried out in the public interest by the Community institutions and bodies includes the processing of personal data necessary for the management and functioning of those institutions and bodies.

(28) Teatavatel juhtudel tuleb luba andmete töötlemiseks anda ühenduse sätete või ühenduse sätete ülevõtmise aktidega. Üleminekuperioodi jooksul, mil nimetatud sätted puuduvad, võib kuni nende vastuvõtmiseni anda Euroopa andmekaitseinspektor loa nimetatud andmete töötlemiseks, kui võetakse kohased kaitsemeetmed. Seejuures peab ta arvesse võtma eelkõige sätteid, mis on samalaadsete küsimuste käsitlemiseks vastu võetud liikmesriikides.

(28) In certain cases the processing of data should be authorised by Community provisions or by acts transposing Community provisions. Nevertheless, in the transitional period during which such provisions do not exist, pending their adoption, the European Data Protection Supervisor may authorise processing of such data provided that adequate safeguards are adopted. In so doing, he should take account in particular of the provisions adopted by the Member States to deal with similar cases.

(29) Nimetatud juhud seonduvad selliste andmete töötlemisega, mis toovad esile rassilise või etnilise kuuluvuse, poliitilised, usulised või filosoofilised tõekspidamised, kuulumise ametiühingusse, ja selliste andmete töötlemisega, mis seonduvad tervise või seksuaaleluga ning mida on tarvis vastutava töötleja konkreetsete õiguste teostamiseks ja kohustuste täitmiseks tööseaduste valdkonnas või olulise avaliku huvi korral. Need seonduvad ka õiguserikkumisi, kriminaalkaristusi või julgeolekumeetmeid käsitlevate andmete töötlemisega ning loaga kohaldada andmesubjekti suhtes tema jaoks õiguslikke tagajärgi omavat või teda oluliselt mõjutavat otsust, mis põhineb üksnes tema teatavate isikuomaduste hindamiseks teostataval automatiseeritud andmetöötlusel.

(29) These cases concern the processing of data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership and the processing of data concerning health or sex life which are necessary for the purposes of complying with the specific rights and obligations of the controller in the field of employment law or for reasons of substantial public interest. They also concern the processing of data relating to offences, criminal convictions or security measures and authorisation to apply a decision to the data subject which produces legal effects concerning him or her or significantly affects him or her and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him or her.

(30) Võib olla tarvis jälgida ühenduse institutsioonide ja asutuste kontrolli all toimivaid arvutivõrke, et ennetada nende loata kasutamist. Millal ja mis tingimustel see on võimalik, peaks kindlaks määrama Euroopa andmekaitseinspektor.

(30) It may be necessary to monitor the computer networks operated under the control of the Community institutions and bodies for the purposes of prevention of unauthorised use. The European Data Protection Supervisor should determine whether and under what conditions that is possible.

(31) Vastutust käesoleva määruse igasuguse rikkumise eest reguleerib asutamislepingu artikli 288 teine lõik.

(31) Liability arising from any breach of this Regulation is governed by the second paragraph of Article 288 of the Treaty.

(32) Igas ühenduse institutsioonis või asutuses peaks olema üks või mitu andmekaitseametnikku, kes tagaks(id) käesoleva määruse sätete täitmise ning nõustaksid vastutavaid töötlejaid nende kohustuste täitmisel.

(32) In each Community institution or body one or more Data Protection Officers should ensure that the provisions of this Regulation are applied and should advise controllers on fulfilling their obligations.

(33) Ühenduse statistikat käsitleva nõukogu 17. veebruari 1997. aasta määruse (EÜ) nr 322/97 [6] artikli 21 kohaselt ei mõjuta nimetatud määrus direktiivi 95/46/EÜ kohaldamist.

(33) Under Article 21 of Council Regulation (EC) No 322/97 of 17 February 1997 on Community statistics(6), that Regulation is to apply without prejudice to Directive 95/46/EC.

(34) Statistilise teabe kogumist Euroopa Keskpanga poolt käsitleva nõukogu 23. novembri 1998. aasta määruse (EÜ) nr 2533/98 [7] artikli 8 lõike 8 kohaselt ei mõjuta nimetatud määrus direktiivi 95/46/EÜ kohaldamist.

(34) Under Article 8(8) of Council Regulation (EC) No 2533/98 of 23 November 1998 concerning the collection of statistical information by the European Central Bank(7), that Regulation is to apply without prejudice to Directive 95/46/EC.

(35) Konfidentsiaalsete statistiliste andmete edastamist Euroopa Ühenduste Statistikaametile käsitleva nõukogu 11. juuni 1990. aasta määruse (Euratom, EMÜ) nr 1588/90 [8] artikli 1 lõike 2 kohaselt ei mõjuta nimetatud määrusega tehtavad erandid ühenduse või siseriiklikke erisätteid, mis kaitsevad muud kui statistilist konfidentsiaalsust.

(35) Under Article 1(2) of Council Regulation (Euratom, EEC) No 1588/90 of 11 June 1990 on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities(8), that Regulation does not derogate from the special Community or national provisions concerning the safeguarding of confidentiality other than statistical confidentiality.

(36) Käesoleva määruse eesmärk ei ole piirata liikmesriikide tegutsemisruumi direktiivi 95/46/EÜ artikli 32 kohaste siseriiklike andmekaitseseaduste koostamisel vastavalt asutamislepingu artiklile 249,

(36) This Regulation does not aim to limit Member States' room for manoeuvre in drawing up their national laws on data protection under Article 32 of Directive 95/46/EC, in accordance with Article 249 of the Treaty,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

HAVE ADOPTED THIS REGULATION:

I PEATÜKK

ÜLDSÄTTED

CHAPTER I

Artikkel 1

GENERAL PROVISIONS

Määruse eesmärk

Article 1

1. Käesoleva määruse kohaselt kaitsevad Euroopa ühenduste asutamislepingutega või nende alusel loodud institutsioonid ja asutused, edaspidi "ühenduse institutsioonid ja asutused", füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust eraelu puutumatusele isikuandmete töötlemisel, ning ei piira ega keela isikuandmete vaba liikumist endi vahel ega vastuvõtjatele, kes rakendavad direktiivi 95/46/EÜ kohaseid siseriiklikke õigusnorme.

Object of the Regulation

2. Käesoleva määrusega loodud sõltumatu järelevalveorgan, edaspidi "Euroopa andmekaitseinspektor", jälgib käesoleva määruse sätete kohaldamist kõikide ühenduse institutsioonide või asutuste töötlemistoimingute puhul.

1. In accordance with this Regulation, the institutions and bodies set up by, or on the basis of, the Treaties establishing the European Communities, hereinafter referred to as "Community institutions or bodies", shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data and shall neither restrict nor prohibit the free flow of personal data between themselves or to recipients subject to the national law of the Member States implementing Directive 95/46/EC.

Artikkel 2

2. The independent supervisory authority established by this Regulation, hereinafter referred to as the European Data Protection Supervisor, shall monitor the application of the provisions of this Regulation to all processing operations carried out by a Community institution or body.

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

Article 2

a) isikuandmed – igasugune teave üheselt identifitseeritud või identifitseeritava füüsilise isiku (edaspidi "andmesubjekt") kohta; identifitseeritav isik on isik, keda saab otseselt või kaudselt kindlaks teha, eelkõige identifitseerimisnumbri abil või tema ühe või mitme füüsilise, psühholoogilise, psüühilise, majandusliku, kultuurilise või sotsiaalse omaduse kaudu;

Definitions

b) isikuandmete töötlemine (edaspidi "töötlemine") — iga isikuandmetega tehtav toiming või mitu toimingut, olenemata sellest, kas see (need) on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel kättesaadavaks tegemine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine;

For the purposes of this Regulation:

c) isikuandmete kataloog (edaspidi "kataloog") — kõik isikuandmete korrastatud kogumid, millest võib saada andmeid teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsetel või geograafilistel põhimõtetel hajutatud;

(a) "personal data" shall mean any information relating to an identified or identifiable natural person hereinafter referred to as "data subject"; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his or her physical, physiological, mental, economic, cultural or social identity;

d) vastutav töötleja — ühenduse institutsioon või asutus, peadirektoraat, selle üksus või mis tahes muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui töötlemise eesmärgid ja viisid on kindlaks määratud ühenduse teatava õigusaktiga, võib vastutava töötleja või tema kohalemääramise konkreetsed kriteeriumid ette näha selle ühenduse õigusaktiga;

(b) "processing of personal data" hereinafter referred to as "processing" shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;

e) volitatud töötleja — füüsiline või juriidiline isik, riigi- või kohaliku omavalitsuse asutus või mõni muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

(c) "personal data filing system" hereinafter referred to as "filing system" shall mean any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

f) kolmas isik — kõik füüsilised või juriidilised isikud, riigi- või kohaliku omavalitsuse asutused või muud organid, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad andmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

(d) "controller" shall mean the Community institution or body, the Directorate-General, the unit or any other organisational entity which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by a specific Community act, the controller or the specific criteria for its nomination may be designated by such Community act;

g) vastuvõtja — füüsiline või juriidiline isik, riigi- või kohaliku omavalitsuse asutus või mõni muu organ, kellele andmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte; vastuvõtjateks ei peeta asutusi, kes võivad andmeid saada seoses konkreetse järelepärimisega;

(e) "processor" shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;

h) andmesubjektinõusolek — iga vabatahtlik, selgelt väljendatud ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku enda kohta käivaid andmeid töödelda.

(f) "third party" shall mean a natural or legal person, public authority, agency or body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorised to process the data;

Artikkel 3

(g) "recipient" shall mean a natural or legal person, public authority, agency or any other body to whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of a particular inquiry shall not be regarded as recipients;

Reguleerimisala

(h) "the data subject's consent" shall mean any freely given specific and informed indication of his or her wishes by which the data subject signifies his or her agreement to personal data relating to him or her being processed.

1. Käesolevat määrust kohaldatakse kõikides ühenduse institutsioonides ja asutustes toimuva isikuandmete töötlemise suhtes, kui töötlemise eesmärgiks on täielikult või osaliselt ühenduse õigusaktidega hõlmatud toimingute teostamine.

2. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda.

Article 3

II PEATÜKK

Scope

ÜLDISED EESKIRJAD ISIKUANDMETE TÖÖTLEMISE SEADUSLIKKUSE KOHTA

1. This Regulation shall apply to the processing of personal data by all Community institutions and bodies insofar as such processing is carried out in the exercise of activities all or part of which fall within the scope of Community law.

1. JAGU

2. This Regulation shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.

ANDMETE KVALITEEDI PÕHIMÕTTED

Artikkel 4

CHAPTER II

Andmete kvaliteet

GENERAL RULES ON THE LAWFULNESS OF THE PROCESSING OF PERSONAL DATA

1. Tuleb tagada, et:

SECTION 1

a) isikuandmeid töödeldakse õiglaselt ja seaduslikult;

PRINCIPLES RELATING TO DATA QUALITY

b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ega töödelda hiljem viisil, mis on vastuolus kõnealuste eesmärkidega. Isikuandmete hilisem töötlemine ajaloo-, statistika- või teadusuuringutega seotud eesmärkidel ei ole keelatud, kui vastutav töötleja annab asjakohase garantii eelkõige selle kohta, et andmeid ei töödelda muudel eesmärkidel ega kasutata konkreetse üksikisikuga seotud meetmete või otsuse õigustamiseks;

Article 4

c) isikuandmed on piisavad, asjakohased ega ületa selle otstarbe piire, mille tarvis neid kogutakse ja/või hiljem töödeldakse;

Data quality

d) isikuandmed on täpsed ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed, et kustutada või parandada andmed, mis andmete kogumise või hilisema töötlemise eesmärki silmas pidades on ebaõiged või mittetäielikud;

1. Personal data must be:

e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte identifitseerida ainult seni, kuni see on vajalik seoses andmete kogumise või hilisema töötlemise eesmärkidega. Ühenduse institutsioon või asutus näeb ette, et isikuandmed, mida säilitatakse pikema aja jooksul ajaloo-, statistika- või teadusuuringutes kasutamiseks, on kas vormilt anonüümsed või, kui see ei ole võimalik, on andmesubjektide identiteet krüpteeritud. Ühelgi juhul ei tohi andmeid kasutada muul kui ajaloo-, statistika- või teadusuuringutega seotud eesmärgil.

(a) processed fairly and lawfully;

2. Lõike 1 järgimise tagab vastutav töötleja.

(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of personal data for historical, statistical or scientific purposes shall not be considered incompatible provided that the controller provides appropriate safeguards, in particular to ensure that the data are not processed for any other purposes or used in support of measures or decisions regarding any particular individual;

2. JAGU

(c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;

ANDMETÖÖTLUSE SEADUSLIKKUSE KRITEERIUMID

(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;

Artikkel 5

(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. The Community institution or body shall lay down that personal data which are to be stored for longer periods for historical, statistical or scientific use should be kept either in anonymous form only or, if that is not possible, only with the identity of the data subjects encrypted. In any event, the data shall not be used for any purpose other than for historical, statistical or scientific purposes.

Töötlemise seaduslikkus

2. It shall be for the controller to ensure that paragraph 1 is complied with.

Isikuandmeid võib töödelda üksnes juhul, kui:

a) töötlemine on Euroopa ühenduste asutamislepingute või nende alusel vastuvõetud muude õigusaktide kohaselt vajalik üldistes huvides oleva ülesande täitmiseks või vajalik andmeid saavale ühenduse institutsioonile või asutusele või kolmandale isikule talle antud ametlike volituste seaduslikuks teostamiseks;

SECTION 2

b) töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;

CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE

c) töötlemine on vajalik sellise lepingu täitmiseks, mille osapool on andmesubjekt, või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

Article 5

d) andmesubjekt on selleks andnud ühemõttelise nõusoleku;

Lawfulness of processing

e) töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks.

Personal data may be processed only if:

Artikkel 6

(a) processing is necessary for the performance of a task carried out in the public interest on the basis of the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or in the legitimate exercise of official authority vested in the Community institution or body or in a third party to whom the data are disclosed, or

Eesmärgi muutumine

(b) processing is necessary for compliance with a legal obligation to which the controller is subject, or

Ilma et see mõjutaks artiklite 4, 5 ja 10 kohaldamist:

(c) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract, or

1. võib isikuandmeid töödelda muul eesmärgil kui see, milleks need koguti, vaid juhul, kui eesmärgi muutumine on otsesõnu lubatud ühenduse institutsiooni või asutuse sise-eeskirjadega;

(d) the data subject has unambiguously given his or her consent, or

2. ei kasutata üksnes töötlemissüsteemide või -toimingute turvalisuse või kontrolli tagamiseks kogutud isikuandmeid muul eesmärgil, välja arvatud raskete kuritegude ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine.

(e) processing is necessary in order to protect the vital interests of the data subject.

Artikkel 7

Ühenduse institutsioonide või asutuste sisene või nendevaheline isikuandmete edastamine

Article 6

Ilma, et see mõjutaks artiklite 4, 5, 6 ja 10 kohaldamist:

Change of purpose

1. edastatakse isikuandmeid ühenduse institutsioonide või asutuste siseselt või nende vahel üksnes juhul, kui andmeid on tarvis vastuvõtja pädevusse kuuluvate ülesannete seaduslikuks täitmiseks;

Without prejudice to Articles 4, 5 and 10:

2. kui andmeid edastatakse vastuvõtja taotluse alusel, kannavad edastamise seaduslikkuse eest vastutust nii vastutav töötleja kui vastuvõtja.

1. Personal data shall only be processed for purposes other than those for which they have been collected if the change of purpose is expressly permitted by the internal rules of the Community institution or body.

Vastutav töötleja peab kontrollima vastuvõtja pädevust ja andma andmete edastamise vajalikkuse kohta esialgse hinnangu. Kui vajalikkuse osas tekib kahtlusi, taotleb vastutav töötleja vastuvõtjalt täiendavat teavet.

2. Personal data collected exclusively for ensuring the security or the control of the processing systems or operations shall not be used for any other purpose, with the exception of the prevention, investigation, detection and prosecution of serious criminal offences.

Vastuvõtja tagab, et andmete edastamise vajalikkust on võimalik hiljem kontrollida;

3. töötleb vastuvõtja isikuandmeid üksnes sel eesmärgil, milleks need edastati.

Article 7

Artikkel 8

Transfer of personal data within or between Community institutions or bodies

Isikuandmete edastamine direktiivi 95/46/EÜ kohastele vastuvõtjatele, kes ei ole ühenduse institutsioonid ega asutused

Without prejudice to Articles 4, 5, 6 and 10:

Ilma et see mõjutaks artiklite 4, 5, 6 ja 10 kohaldamist, edastatakse isikuandmeid direktiivi 95/46/EÜ alusel vastuvõetud siseriiklike õigusaktide kohastele vastuvõtjatele üksnes juhul, kui:

1. Personal data shall only be transferred within or to other Community institutions or bodies if the data are necessary for the legitimate performance of tasks covered by the competence of the recipient.

a) vastuvõtja tõendab, et andmeid on tarvis üldistes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks;

2. Where the data are transferred following a request from the recipient, both the controller and the recipient shall bear the responsibility for the legitimacy of this transfer.

b) vastuvõtja tõendab andmete saamise vajalikkust ning ei ole alust karta andmesubjekti õigustatud huvide kahjustamist.

The controller shall be required to verify the competence of the recipient and to make a provisional evaluation of the necessity for the transfer of the data. If doubts arise as to this necessity, the controller shall seek further information from the recipient.

Artikkel 9

The recipient shall ensure that the necessity for the transfer of the data can be subsequently verified.

Isikuandmete edastamine vastuvõtjatele, kes ei ole direktiivi 95/46/EÜ kohased vastuvõtjad ja kes ei ole ühenduse institutsioonid ega asutused

3. The recipient shall process the personal data only for the purposes for which they were transmitted.

1. Vastuvõtjatele, kes ei ole ühenduse institutsioonid ja asutused ja kes ei ole direktiivi 95/46/EÜ alusel vastuvõetud siseriiklike õigusaktide kohased vastuvõtjad, edastatakse isikuandmeid üksnes juhul, kui vastuvõtja asukohariigis või vastuvõtvas rahvusvahelises organisatsioonis on tagatud nõuetekohasel tasemel kaitse ning andmeid edastatakse üksnes vastutava töötleja pädevusse kuuluvate ülesannete täitmiseks.

2. Andmekaitse taset kolmandas riigis või rahvusvahelises organisatsioonis hinnatakse, pidades silmas kõiki andmete edastamistoimingute või andmete edastamistoimingute kogumi asjaolusid; tähelepanu pööratakse eelkõige andmete laadile, kavandatud töötlemistoimingu või töötlemistoimingute eesmärgile ja kestusele, vastuvõtvale kolmandale riigile või vastuvõtvale rahvusvahelisele organisatsioonile, kõnealuses kolmandas riigis või kõnealuse rahvusvahelise organisatsiooni suhtes kehtivatele nii üldistele kui ka konkreetse sektori õigusnormidele ja kõnealuses kolmandas riigis või rahvusvahelises organisatsioonis järgitavatele ametieeskirjadele ja turvameetmetele.

Article 8

3. Ühenduse institutsioonid ja asutused teavitavad komisjoni ja Euroopa andmekaitseinspektorit juhtudest, kus kõnealune kolmas riik või rahvusvaheline organisatsioon nende arvates ei taga nõuetekohasel tasemel kaitset lõike 2 tähenduses.

Transfer of personal data to recipients, other than Community institutions and bodies, subject to Directive 95/46/EC

4. Komisjon teeb artiklit 3 osutatud juhtumid teatavaks liikmesriikidele.

Without prejudice to Articles 4, 5, 6 and 10, personal data shall only be transferred to recipients subject to the national law adopted for the implementation of Directive 95/46/EC,

5. Kui komisjon direktiivi 95/46/EÜ artikli 25 lõigete 4 ja 6 kohaselt leiab, et kolmas riik või rahvusvaheline organisatsioon tagab või ei taga nõuetekohasel tasemel kaitset, võtavad ühenduse institutsioonid ja asutused komisjoni otsuste täitmiseks vajalikud meetmed.

(a) if the recipient establishes that the data are necessary for the performance of a task carried out in the public interest or subject to the exercise of public authority, or

6. Erandina lõigetest 1 ja 2 võib ühenduse institutsioon või asutus isikuandmeid edastada järgmistel juhtudel:

(b) if the recipient establishes the necessity of having the data transferred and if there is no reason to assume that the data subject's legitimate interests might be prejudiced.

a) andmesubjekt on andmete kavandatud edastamiseks andnud oma ühemõttelise nõusoleku;

b) edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotlusel võetud lepingueelsete meetmete rakendamiseks;

Article 9

c) edastamine on vajalik andmesubjekti huvides vastutava töötleja ja kolmanda isiku vahel sõlmitava lepingu sõlmimiseks või täitmiseks;

Transfer of personal data to recipients, other than Community institutions and bodies, which are not subject to Directive 95/46/EC

d) edastamine on vajalik või seaduste järgi nõutav üldiste huvidega seotud olulistel põhjustel või õigusliku nõude koostamiseks, esitamiseks või kaitsmiseks;

1. Personal data shall only be transferred to recipients, other than Community institutions and bodies, which are not subject to national law adopted pursuant to Directive 95/46/EC, if an adequate level of protection is ensured in the country of the recipient or within the recipient international organisation and the data are transferred solely to allow tasks covered by the competence of the controller to be carried out.

e) edastamine on vajalik andmesubjekti eluliste huvide kaitsmiseks;

2. The adequacy of the level of protection afforded by the third country or international organisation in question shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the recipient third country or recipient international organisation, the rules of law, both general and sectoral, in force in the third country or international organisation in question and the professional rules and security measures which are complied with in that third country or international organisation.

f) edastatavad andmed on pärit registrist, mis ühenduse õigusnormide kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud üldsusele või kõigile õigustatud huvidega isikutele, kuivõrd konkreetsel juhul täidetakse tingimusi, mis ühenduse õigusaktidega on tutvumiseks ette nähtud.

3. The Community institutions and bodies shall inform the Commission and the European Data Protection Supervisor of cases where they consider the third country or international organisation in question does not ensure an adequate level of protection within the meaning of paragraph 2.

7. Ilma et see piiraks lõike 6 kohaldamist, võib Euroopa andmekaitseinspektor lubada isikuandmete ühe- või mitmekordset edastamist kolmandasse riiki või rahvusvahelisele organisatsioonile, mis ei taga kaitse piisavat taset lõigete 1 ja 2 tähenduses, kui vastutav töötleja esitab piisavad tagatised üksikisikute eraelu puutumatuse ning põhiõiguste ja -vabaduste kaitse ja vastavate õiguste kasutamise kohta; sellised tagatised võivad tuleneda eelkõige asjakohastest lepingutingimustest.

4. The Commission shall inform the Member States of any cases as referred to in paragraph 3.

8. Ühenduse institutsioonid ja asutused teavitavad Euroopa andmekaitseinspektorit nende juhtumite liikidest, mille puhul nad on kohaldanud lõikeid 6 ja 7.

5. The Community institutions and bodies shall take the necessary measures to comply with decisions taken by the Commission when it establishes, pursuant to Article 25(4) and (6) of Directive 95/46/EC, that a third country or an international organisation ensures or does not ensure an adequate level of protection.

3. JAGU

6. By way of derogation from paragraphs 1 and 2, the Community institution or body may transfer personal data if:

TÖÖTLEMISE ERIKATEGOORIAD

(a) the data subject has given his or her consent unambiguously to the proposed transfer; or

Artikkel 10

(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken in response to the data subject's request; or

Andmete eriliikide töötlemine

(c) the transfer is necessary for the conclusion or performance of a contract entered into in the interest of the data subject between the controller and a third party; or

1. Keelatud on töödelda selliseid isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingusse kuulumise, ning tervislikku seisundit või seksuaalelu käsitlevate andmete töötlemine.

(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or

2. Lõiget 1 ei kohaldata, kui:

(e) the transfer is necessary in order to protect the vital interests of the data subject; or

a) andmesubjekt on andnud nende andmete töötlemiseks oma selgesõnalise nõusoleku, välja arvatud juhul, kui ühenduse institutsiooni või asutuse sise-eeskirjades on sätestatud, et andmesubjekti nõusolek ei saa kaotada artiklis 1 osutatud keeldu;

(f) the transfer is made from a register which, according to Community law, is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, to the extent that the conditions laid down in Community law for consultation are fulfilled in the particular case.

b) töötlemine on vajalik vastutava töötleja konkreetsete õiguste teostamiseks või kohustuste täitmiseks tööõiguse valdkonnas ja tingimusel, et selleks on antud luba Euroopa ühenduste asutamislepingute või nende alusel vastuvõetud muude õigusaktidega või kui selleks on vajaduse korral nõuetekohaste tagatiste olemasolul nõusoleku andnud Euroopa andmekaitseinspektor;

7. Without prejudice to paragraph 6, the European Data Protection Supervisor may authorise a transfer or a set of transfers of personal data to a third country or international organisation which does not ensure an adequate level of protection within the meaning of paragraphs 1 and 2, where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.

c) töötlemine on vajalik selleks, et kaitsta andmesubjekti või mõne teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma;

8. The Community institutions and bodies shall inform the European Data Protection Supervisor of categories of cases where they have applied paragraphs 6 and 7.

d) töödeldakse andmeid, mis andmesubjekt on ilmselgelt avalikustanud, või kui töötlemine on vajalik õigusliku nõude koostamiseks, esitamiseks või kaitsmiseks;

e) töötlemine toimub nõuetekohast kaitset pakkuva ning ühenduse institutsiooni või asutusega integreeritud mittetulundusühingu seadusliku tegevuse raames, kelle suhtes ei kohaldata direktiivi 95/46/EÜ artikli 4 alusel siseriiklikke andmekaitsenorme ning kellel on poliitika, filosoofia, religiooni või ametiühingutega seotud eesmärgid, tingimusel et töötlemine seondub üksnes selle ühingu liikmetega või ühingu eesmärkide täitmiseks sellega alalistes sidemetes olevate isikutega ning et andmeid andmesubjekti nõusolekuta kolmandatele isikutele ei avaldata.

SECTION 3

3. Lõiget 1 ei kohaldata, kui andmete töötlemine on vajalik ennetava meditsiini, meditsiinilise diagnoosi, meditsiinilise abi või ravi võimaldamise või tervishoiuteenuste juhtimise jaoks ja kui kõnealuseid andmeid töötleb tervishoiutöötaja, kelle puhul kehtib ametisaladuse hoidmise kohustus, või mõni teine isik, kelle suhtes kehtib samaväärne saladuse hoidmise kohustus.

SPECIAL CATEGORIES OF PROCESSING

4. Nõuetekohase kaitse tagamise korral ning olulistes avalikes huvides võib Euroopa ühenduste asutamislepingutega või nende alusel vastuvõetud muude õigusaktidega või vajaduse korral Euroopa andmekaitseinspektori otsusega teha artiklit 2 nimetamata täiendavaid erandeid.

Article 10

5. Õiguserikkumiste, kriminaalkaristuste või julgeolekumeetmetega seotud andmeid võib töödelda üksnes juhul, kui see on lubatud Euroopa ühenduste asutamislepingutega või muude nende alusel vastuvõetud õigusaktidega või vajaduse korral Euroopa andmekaitseinspektori poolt tingimusel, et tagatud on konkreetne nõuetekohane kaitse.

The processing of special categories of data

6. Euroopa andmekaitseinspektor määrab kindlaks tingimused, millal ühenduse institutsioon või asutus võib töödelda isikukoodi või muud üldkasutatavat identifikaatorit.

1. The processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and of data concerning health or sex life, are prohibited.

4. JAGU

2. Paragraph 1 shall not apply where:

ANDMESUBJEKTILE ANTAV TEAVE

(a) the data subject has given his or her express consent to the processing of those data, except where the internal rules of the Community institution or body provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his or her consent, or

Artikkel 11

(b) processing is necessary for the purposes of complying with the specific rights and obligations of the controller in the field of employment law insofar as it is authorised by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof, or, if necessary, insofar as it is agreed upon by the European Data Protection Supervisor, subject to adequate safeguards, or

Teave, mis tuleb anda juhul, kui andmed on saadud andmesubjektilt

(c) processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his or her consent, or

1. Vastutav töötleja annab andmesubjektile, kelle käest temaga seotud andmed on saadud ning välja arvatud juhul, kui ta seda teavet juba valdab, vähemalt järgmise teabe:

(d) processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exercise or defence of legal claims, or

a) vastutava töötleja isikuandmed;

(e) processing is carried out in the course of its legitimate activities with appropriate safeguards by a non-profit-seeking body which constitutes an entity integrated in a Community institution or body, not subject to national data protection law by virtue of Article 4 of Directive 95/46/EC, and with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members of this body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed to a third party without the consent of the data subjects.

b) andmete töötlemise eesmärk;

3. Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy.

c) andmete vastuvõtjad või vastuvõtjate kategooriad;

4. Subject to the provision of appropriate safeguards, and for reasons of substantial public interest, exemptions in addition to those laid down in paragraph 2 may be laid down by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or, if necessary, by decision of the European Data Protection Supervisor.

d) kas küsimustele vastamine on kohustuslik või vabatahtlik ja vastamata jätmise võimalikud tagajärjed;

5. Processing of data relating to offences, criminal convictions or security measures may be carried out only if authorised by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or, if necessary, by the European Data Protection Supervisor, subject to appropriate specific safeguards.

e) andmesubjekti õigus tutvuda enda kohta käivate andmetega ja neid parandada;

6. The European Data Protection Supervisor shall determine the conditions under which a personal number or other identifier of general application may be processed by a Community institution or body.

f) täiendav teave, näiteks:

i) andmete töötlemise eesmärgi õiguslik alus,

SECTION 4

ii) andmete säilitamise tähtaeg,

INFORMATION TO BE GIVEN TO THE DATA SUBJECT

iii) õigus pöörduda igal ajal abi saamiseks Euroopa andmekaitseinspektori poole,

Article 11

kuivõrd selline täiendav teave on vajalik, et tagada andmesubjekti suhtes õiglane andmete töötlemine, võttes arvesse andmete kogumise konkreetseid asjaolusid.

Information to be supplied where the data have been obtained from the data subject

2. Erandina lõikest 1 võib teabe andmist täielikult või osaliselt edasi lükata, välja arvatud lõike 1 punktides a, b ja d osutatud teave, kuni see on vajalik statistilistel eesmärkidel. Teave tuleb anda kohe, kui selle kinnipidamise põhjus ära langeb.

1. The controller shall provide a data subject from whom data relating to himself/herself are collected with at least the following information, except where he or she already has it:

Artikkel 12

(a) the identity of the controller;

Teave, mis tuleb anda juhul, kui andmed ei ole saadud andmesubjektilt

(b) the purposes of the processing operation for which the data are intended;

1. Kui andmeid ei ole saadud andmesubjektilt, esitab vastutav töötleja hiljemalt isikuandmete salvestamise ajal, või kui andmed kavatsetakse avaldada kolmandale isikule, siis hiljemalt andmete esmakordse avaldamise ajal, andmesubjektile vähemalt järgmise teabe, kui viimane seda juba ei tea:

a) vastutava töötleja isikuandmed;

(d) whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply;

b) töötlemistoimingu eesmärk;

(e) the existence of the right of access to, and the right to rectify, the data concerning him or her;

c) asjaomaste andmete liigid;

(f) any further information such as:

d) vastuvõtjad või vastuvõtjate kategooriad;

(i) the legal basis of the processing operation for which the data are intended,

e) andmesubjekti õigus tutvuda enda kohta käivate andmetega ja neid parandada;

(ii) the time-limits for storing the data,

f) täiendav teave, näiteks:

(iii) the right to have recourse at any time to the European Data Protection Supervisor,

i) andmete töötlemise eesmärgi õiguslik alus,

insofar as such further information is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.

ii) andmete säilitamise tähtaeg,

2. By way of derogation from paragraph 1, the provision of information or part of it, except for the information referred to in paragraph 1(a), (b) and (d), may be deferred as long as this is necessary for statistical purposes. The information must be provided as soon as the reason for which the information is withheld ceases to exist.

iii) õigus pöörduda igal ajal abi saamiseks Euroopa andmekaitseinspektori poole,

iv) andmete päritolu, välja arvatud juhul, kui vastutav töötleja ei saa seda avaldada ametisaladusega seotud põhjustel,

Article 12

kuivõrd selline täiendav teave on vajalik, et tagada andmesubjekti suhtes õiglane andmete töötlemine, võttes arvesse andmete töötlemise konkreetseid asjaolusid.

Information to be supplied where the data have not been obtained from the data subject

2. Lõiget 1 ei kohaldata, kui eelkõige statistikaga seotud eesmärkidel või ajaloo- või teadusuuringutega seotud eesmärkidel toimuva töötlemise puhul osutub sellise teabe andmine võimatuks või kui see eeldab ülemääraseid jõupingutusi või kui selliste andmete salvestamine või avalikustamine on ühenduse õigusaktides selgelt sätestatud. Nimetatud juhtudel annab ühenduse institutsioon või asutus pärast Euroopa andmekaitseinspektoriga konsulteerimist nõuetekohased tagatised.

1. Where the data have not been obtained from the data subject, the controller shall at the time of undertaking the recording of personal data or, if a disclosure to a third party is envisaged, no later than the time when the data are first disclosed, provide the data subject with at least the following information, except where he or she already has it:

5. JAGU

(a) the identity of the controller;

ANDMESUBJEKTI ÕIGUSED

(b) the purposes of the processing operation;

Artikkel 13

Õigus tutvuda andmetega

(d) the recipients or categories of recipients;

Andmesubjektil on õigus piiranguteta ning kolme kuu jooksul alates vastava taotluse esitamisest saada vastutavalt töötlejalt tasuta:

(e) the existence of the right of access to, and the right to rectify, the data concerning him or her;

a) kinnitust, kas temaga seotud andmeid töödeldakse või mitte;

(f) any further information such as:

b) teavet vähemalt töötlemise eesmärkide, kasutatavate andmeliikide ning vastuvõtja või vastuvõtjate kategooriate kohta, kellele andmeid avaldatakse;

(i) the legal basis of the processing operation for which the data are intended,

c) arusaadaval kujul teavet töödeldavate andmete ja võimaluse korral nende allika kohta;

(ii) the time-limits for storing the data,

d) selgitust teda puudutava automatiseeritud otsustusprotsessi toimimise loogika kohta.

(iii) the right to have recourse at any time to the European Data Protection Supervisor,

Artikkel 14

(iv) the origin of the data, except where the controller cannot disclose this information for reasons of professional secrecy,

Parandamine

insofar as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.

Andmesubjektil on õigus nõuda vastutavalt töötlejalt ebatäpsete või mittetäielike isikuandmete viivitamatut parandamist.

2. Paragraph 1 shall not apply where, in particular for processing for statistical purposes or for the purposes of historical or scientific research, the provision of such information proves impossible or would involve a disproportionate effort or if recording or disclosure is expressly laid down by Community law. In these cases the Community institution or body shall provide for appropriate safeguards after consulting the European Data Protection Supervisor.

Artikkel 15

Sulgemine

SECTION 5

1. Andmesubjektil on õigus nõuda vastutavalt töötlejalt andmete sulgemist, kui:

RIGHTS OF THE DATA SUBJECT

a) andmesubjekt seab kahtluse alla nende täpsuse, et vastutav töötleja saaks teatava tähtaja jooksul kontrollida andmete täpsust ja täielikkust;

Article 13

b) vastutav töötleja ei vaja neid enam oma ülesannete täitmiseks, kuid andmeid tuleb säilitada tõendamise eesmärgil;

Right of access

c) töötlemine on ebaseaduslik ning andmesubjekt ei nõua nende kustutamist, vaid hoopis sulgemist.

The data subject shall have the right to obtain, without constraint, at any time within three months from the receipt of the request and free of charge from the controller:

2. Automaatkataloogides tagatakse sulgemine üldjuhul tehniliste vahenditega. Asjaolu, et isikuandmed on suletud, tuleb süsteemis esitada selliselt, et nende kasutamise keeld oleks selge.

(a) confirmation as to whether or not data related to him or her are being processed;

3. Käesoleva artikli kohaselt suletud isikuandmeid võib säilitamise eesmärgil töötlemist arvesse võtmata töödelda üksnes tõendamiseks, andmesubjekti nõusolekul või kolmanda isiku õiguste kaitsmiseks.

(b) information at least as to the purposes of the processing operation, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed;

4. Oma andmete sulgemist taotlenud ja selle saavutanud andmesubjektile teatab vastutav töötleja ette andmete sulgemise lõpetamisest.

(c) communication in an intelligible form of the data undergoing processing and of any available information as to their source;

Artikkel 16

(d) knowledge of the logic involved in any automated decision process concerning him or her.

Kustutamine

Andmesubjektil on õigus nõuda vastutavalt töötlejalt andmete kustutamist, kui nende töötlemine on ebaseaduslik, eelkõige II peatüki 1., 2. ja 3. jao sätete rikkumise korral.

Article 14

Artikkel 17

Rectification

Kolmandate isikute teavitamine

The data subject shall have the right to obtain from the controller the rectification without delay of inaccurate or incomplete personal data.

Andmesubjektil on õigus vastutavalt töötlejalt nõuda andmeid saanud kolmanda isiku teavitamist igasugusest artiklite 13—16 kohasest parandusest, kustutusest või sulgemisest, välja arvatud juhud, kui see on võimatu või nõuab ülemääraseid jõupingutusi.

Artikkel 18

Article 15

Andmesubjekti õigus esitada vastuväiteid

Blocking

Andmesubjektil on õigus:

1. The data subject shall have the right to obtain from the controller the blocking of data where:

a) esitada igal ajal oma konkreetse seisundiga seotud veenvatel ja õigustatud põhjustel vastuväiteid endaga seotud andmete töötlemise kohta, välja arvatud artikli 5 punktides b, c ja d sätestatud juhud. Kui tegemist on õigustatud vastuväitega, ei tohi edasises töötlemises kõnealuseid andmeid enam kasutada;

(a) their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy, including the completeness, of the data, or;

b) saada teavet enne, kui temaga seotud isikuandmed esmakordselt kolmandatele isikutele avaldatakse või kui need esmakordselt otseturustuse eesmärgil andmeid kasutavad, kusjuures talle tuleb pakkuda võimalust tasuta esitada nimetatud avaldamise või kasutamise kohta vastuväiteid.

(b) the controller no longer needs them for the accomplishment of its tasks but they have to be maintained for purposes of proof, or;

Artikkel 19

Automatiseeritud töötlusel põhinevad üksikotsused

2. In automated filing systems blocking shall in principle be ensured by technical means. The fact that the personal data are blocked shall be indicated in the system in such a way that it becomes clear that the personal data may not be used.

Andmesubjektil on õigus mitte alluda tema jaoks õiguslikke tagajärgi omavale või teda oluliselt mõjutavale otsusele, mis põhineb üksnes tema teatavate isikuomaduste, näiteks tööviljakuse, usaldusväärsuse või käitumise hindamiseks läbiviidud automatiseeritud andmetöötlusel, välja arvatud juhul, kui otsuse tegemine on selgesõnaliselt lubatud siseriiklike või ühenduse õigusaktide kohaselt, või kui vajaduse korral on loa andnud Euroopa andmekaitseinspektor. Igal juhul tuleb võtta meetmeid andmesubjekti õigustatud huvide kaitsmiseks, näiteks võimaldada tal väljendada isiklikku arvamust.

3. Personal data blocked pursuant to this Article shall, with the exception of their storage, only be processed for purposes of proof, or with the data subject's consent, or for the protection of the rights of a third party.

6. JAGU

4. The data subject who requested and obtained the blocking of his or her data shall be informed by the controller before the data are unblocked.

ERANDID JA PIIRANGUD

Artikkel 20

Article 16

Erandid ja piirangud

Erasure

1. Ühenduse institutsioonid ja asutused võivad piirata artikli 4 lõike 1, artikli 11, artikli 12 lõike 1, artiklite 13—17 ning artikli 37 lõike 1 kohaldamist, kui piirang on vajalik, et tagada:

The data subject shall have the right to obtain from the controller the erasure of data if their processing is unlawful, particularly where the provisions of Sections 1, 2 and 3 of Chapter II have been infringed.

a) kuritegude ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine;

b) liikmesriigi või Euroopa ühenduste olulised majanduslikud või rahanduslikud huvid, sealhulgas raha-, eelarve- ja maksuküsimused;

Article 17

c) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;

Notification to third parties

d) liikmesriikide julgeolek, avalik kord või riigikaitse;

The data subject shall have the right to obtain from the controller the notification to third parties to whom the data have been disclosed of any rectification, erasure or blocking pursuant to Articles 13 to 16 unless this proves impossible or involves a disproportionate effort.

e) jälgimine, kontrollimine ja regulatiivne funktsioon, mis on kas või ajutiselt seotud avaliku võimu teostamisega punktides a ja b osutatud juhtudel.

2. Artikleid 13—16 ei kohaldata, kui andmeid töödeldakse üksnes teadusuuringutega seotud eesmärgil või hoitakse isikustatuina ainult niikaua, kui on vaja statistika koostamiseks, tingimusel et ilmselgelt ei ohustata andmesubjekti eraelu puutumatust ja vastutav töötleja annab nõuetekohased õiguslikud tagatised eelkõige selleks, et andmeid ei kasutataks konkreetsete üksikisikutega seotud meetmete ega otsuste võtmiseks.

Article 18

3. Lõikes 1 sätestatud piirangu kehtestamise korral tehakse andmesubjektile ühenduse õigusaktide kohaselt teatavaks piirangu kohaldamise peamised põhjused ning tema õigus pöörduda abi saamiseks Euroopa andmekaitseinspektori poole.

The data subject's right to object

4. Kui andmesubjektile keelatakse artiklit 1 sätestatud piirangu tõttu juurdepääs andmetele, teeb Euroopa andmekaitseinspektor kaebuse uurimisel talle teatavaks üksnes asjaolu, kas andmeid on töödeldud nõuetekohaselt, ning kui mitte, siis kas vajalikud parandused on tehtud.

The data subject shall have the right:

5. Lõigetes 3 ja 4 osutatud teabe andmist võib edasi lükata niikauaks, et lõike 1 kohaselt kehtestatud piirang nimetatud teabe suhtes enam ei kehti.

(a) to object at any time, on compelling legitimate grounds relating to his or her particular situation, to the processing of data relating to him or her, except in the cases covered by Article 5(b), (c) and (d). Where there is a justified objection, the processing in question may no longer involve those data;

7. JAGU

(b) to be informed before personal data are disclosed for the first time to third parties or before they are used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosure or use.

TÖÖTLEMISE KONFIDENTSIAALSUS JA TURVALISUS

Artikkel 21

Article 19

Töötlemise konfidentsiaalsus

Automated individual decisions

Ühenduse institutsiooni või asutuse töötaja ja iga volitatud töötlejana toimiv ühenduse institutsioon või asutus, kellel on juurdepääs isikuandmetele, töötleb neid üksnes vastutava töötleja ülesandel, kui siseriiklikes või ühenduse õigusaktides ei ole sätestatud teisiti.

The data subject shall have the right not to be subject to a decision which produces legal effects concerning him or her or significantly affects him or her and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him or her, such as his or her performance at work, reliability or conduct, unless the decision is expressly authorised pursuant to national or Community legislation or, if necessary, by the European Data Protection Supervisor. In either case, measures to safeguard the data subject's legitimate interests, such as arrangements allowing him or her to put his or her point of view, must be taken.

Artikkel 22

Töötlemise turvalisus

SECTION 6

1. Võttes arvesse tehnika taset ja selliste meetmete elluviimise kulusid, peab vastutav töötleja rakendama kohaseid tehnilisi ja organisatsioonilisi meetmeid, et tagada kaitstavate isikuandmete töötlemisest ja laadist tulenevatele ohtudele vastav turvalisuse tase.

EXEMPTIONS AND RESTRICTIONS

Nimetatud meetmeid võetakse eelkõige selleks, et ennetada loata avalikustamist või juurdepääsu, eksikombel või ebaseaduslikku hävitamist ja juhuslikku kaotsiminekut või muutmist ning igasuguseid ebaseaduslikke töötlemisviise.

Article 20

2. Isikuandmete töötlemisel automatiseeritud vahenditega tuleb vastavalt ohtudele võtta asjakohaseid meetmeid, mille eesmärk on eelkõige:

Exemptions and restrictions

a) takistada selleks volitamata isikute juurdepääsu isikuandmeid töötlevatele arvutisüsteemidele;

1. The Community institutions and bodies may restrict the application of Article 4(1), Article 11, Article 12(1), Articles 13 to 17 and Article 37(1) where such restriction constitutes a necessary measure to safeguard:

b) takistada andmekandjate loata lugemist, kopeerimist, muutmist või kõrvaldamist;

(a) the prevention, investigation, detection and prosecution of criminal offences;

c) takistada loata salvestamist andmekandjatele ning säilitatavate isikuandmete loata avalikustamist, muutmist või kustutamist;

(b) an important economic or financial interest of a Member State or of the European Communities, including monetary, budgetary and taxation matters;

d) takistada selleks volitamata isikuil andmetöötlussüsteemide andmeedastusvahendite kasutamist;

e) tagada, et andmetöötlussüsteemi volitatud kasutajad ei pääseks nende isikuandmete juurde, mis neile ei ole ette nähtud;

(d) the national security, public security or defence of the Member States;

f) talletada, milliseid isikuandmeid, millal ja kellele on edastatud;

(e) a monitoring, inspection or regulatory task connected, even occasionally, with the exercise of official authority in the cases referred to in (a) and (b).

g) tagada võimalus hiljem kontrollida, milliseid isikuandmeid, millal ja kelle poolt on töödeldud;

2. Articles 13 to 16 shall not apply when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of compiling statistics, provided that there is clearly no risk of breaching the privacy of the data subject and that the controller provides adequate legal safeguards, in particular to ensure that the data are not used for taking measures or decisions regarding particular individuals.

h) tagada, et kolmandate isikute nimel töödeldavaid isikuandmeid saaks töödelda üksnes teenust pakkuva institutsiooni või asutuse poolt ettenähtud viisil;

3. If a restriction provided for by paragraph 1 is imposed, the data subject shall be informed, in accordance with Community law, of the principal reasons on which the application of the restriction is based and of his or her right to have recourse to the European Data Protection Supervisor.

i) tagada, et isikuandmete edastamise ja andmekandjate veo käigus ei oleks võimalik andmeid vastava loata lugeda, kopeerida ega kustutada;

4. If a restriction provided for by paragraph 1 is relied upon to deny access to the data subject, the European Data Protection Supervisor shall, when investigating the complaint, only inform him or her of whether the data have been processed correctly and, if not, whether any necessary corrections have been made.

j) kujundada institutsiooni või asutuse sees välja selline organisatsiooniline struktuur, mis vastaks andmekaitse erinõuetele.

5. Provision of the information referred to under paragraphs 3 and 4 may be deferred for as long as such information would deprive the restriction imposed by paragraph 1 of its effect.

Artikkel 23

Isikuandmete töötlemine vastutavate töötlejate nimel

SECTION 7

1. Kui töötlemine toimub vastutava töötleja nimel, valib vastutav töötleja sellise volitatud töötleja, kes pakub piisavaid tagatisi artikliga 22 ettenähtud tehniliste ja organisatsiooniliste turvameetmete osas ning tagab nende meetmete elluviimise.

CONFIDENTIALITY AND SECURITY OF PROCESSING

2. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või õigusakti alusel, milles on eelkõige sätestatud, et:

Article 21

a) volitatud töötleja tegutseb ainult vastutava töötleja juhtnööride kohaselt;

Confidentiality of processing

b) artiklites 21 ja 22 sätestatud kohustused laienevad ka volitatud töötlejale, kui tema suhtes juba ei kehti direktiivi 95/46/EÜ artikli 16 või artikli 17 lõike 3 teise lõigu kohaselt konfidentsiaalsuse ja turvalisusega seotud kohustused, mis on ette nähtud liikmesriigi õigusaktidega.

A person employed with a Community institution or body and any Community institution or body itself acting as processor, with access to personal data, shall not process them except on instructions from the controller, unless required to do so by national or Community law.

3. Selleks et säiliksid tõendusmaterjalid, peavad lepingu või õigusakti andmekaitset käsitlevad osad ja artiklis 22 osutatud meetmetega seotud nõudmised olema kirjalikus või muus samaväärses vormis.

8. JAGU

Article 22

ANDMEKAITSEAMETNIK

Security of processing

Artikkel 24

1. Having regard to the state of the art and the cost of their implementation, the controller shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks represented by the processing and the nature of the personal data to be protected.

Andmekaitseametniku ametissenimetamine ja ülesanded

Such measures shall be taken in particular to prevent any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and to prevent all other unlawful forms of processing.

1. Iga ühenduse institutsioon ja ühenduse asutus nimetab ametisse vähemalt ühe andmekaitseametniku. Selle isiku ülesanne on:

2. Where personal data are processed by automated means, measures shall be taken as appropriate in view of the risks in particular with the aim of:

a) tagada, et vastutavaid töötlejaid ja andmesubjekte teavitataks nende õigustest ja kohustustest vastavalt käesolevale määrusele;

(a) preventing any unauthorised person from gaining access to computer systems processing personal data;

b) vastata Euroopa andmekaitseinspektori arupärimistele ning teha Euroopa andmekaitseinspektoriga enda initsiatiivil või tema taotlusel oma pädevuse piires koostööd;

(b) preventing any unauthorised reading, copying, alteration or removal of storage media;

c) sõltumatuna tagada käesoleva määruse sätete asutusesisene kohaldamine;

(c) preventing any unauthorised memory inputs as well as any unauthorised disclosure, alteration or erasure of stored personal data;

d) pidada vastutava töötleja andmetöötlemiste registrit, mis sisaldab artikli 25 artiklit 2 osutatud andmeid;

(d) preventing unauthorised persons from using data-processing systems by means of data transmission facilities;

e) teavitada Euroopa andmekaitseinspektorit töötlemistest, mis eeldatavasti sisaldavad artiklis 27 osutatud konkreetseid ohte.

(e) ensuring that authorised users of a data-processing system can access no personal data other than those to which their access right refers;

Nimetatud isik tagab seega, et töötlemine tõenäoliselt ei kahjusta andmesubjektide õigusi ja vabadusi.

(f) recording which personal data have been communicated, at what times and to whom;

2. Andmekaitseametnik valitakse isikuomaduste ja ametialaste võimete ning eelkõige tema andmekaitsealaste eriteadmiste alusel.

(g) ensuring that it will subsequently be possible to check which personal data have been processed, at what times and by whom;

3. Andmekaitseametnikuks valimine ei tohi kaasa tuua huvide konflikti tema andmekaitseametnikuna tegutsemise ning tema teiste ametlike tööülesannete vahel, eelkõige käesoleva määruse sätete kohaldamisel.

(h) ensuring that personal data being processed on behalf of third parties can be processed only in the manner prescribed by the contracting institution or body;

4. Andmekaitseametnik nimetatakse ametisse tähtajaks kahest kuni viie aastani. Teda võib tagasi valida kokku kuni kümneks aastaks. Andmekaitseametniku ametisse nimetanud ühenduse institutsioon või asutus võib ta ametikohalt vabastada üksnes Euroopa andmekaitseinspektori nõusolekul, kui ta ei vasta enam oma tööülesannete täitmiseks vajalikele tingimustele.

(i) ensuring that, during communication of personal data and during transport of storage media, the data cannot be read, copied or erased without authorisation;

5. Pärast ametissenimetamist registreerib andmekaitseametniku ametisse nimetanud institutsioon või asutus ta Euroopa andmekaitseinspektori juures.

(j) designing the organisational structure within an institution or body in such a way that it will meet the special requirements of data protection.

6. Ühenduse institutsioon või asutus, kes andmekaitseametniku ametisse nimetas, annab talle tema töökohustuste täitmiseks vajaliku personali ning vahendid.

7. Töökohustuste täitmiseks ei tohi andmekaitseametnikule anda mingeid juhendeid.

Article 23

8. Andmekaitseametnikuga seotud täiendavad rakenduseeskirjad võtab iga ühenduse institutsioon või asutus vastu lisa sätete kohaselt. Rakenduseeskirjad hõlmavad eelkõige andmekaitseametniku ülesandeid, kohustusi ja volitusi.

Processing of personal data on behalf of controllers

Artikkel 25

1. Where a processing operation is carried out on its behalf, the controller shall choose a processor providing sufficient guarantees in respect of the technical and organisational security measures required by Article 22 and ensure compliance with those measures.

Andmekaitseametniku teavitamine

2. The carrying out of a processing operation by way of a processor shall be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:

1. Vastutav töötleja teatab andmekaitseametnikule eelnevalt igast töötlemistoimingust või töötlemistoimingute kogumist, mis on suunatud ühe eesmärgi või mitme omavahel seotud eesmärgi saavutamisele.

(a) the processor shall act only on instructions from the controller;

2. Antav teave sisaldab järgmist:

(b) the obligations set out in Articles 21 and 22 shall also be incumbent on the processor unless, by virtue of Article 16 or Article 17(3), second indent, of Directive 95/46/EC, the processor is already subject to obligations with regard to confidentiality and security laid down in the national law of one of the Member States.

a) vastutava töötleja nimi ja aadress ning viide institutsiooni või asutuse konkreetsetele organisatsiooniüksustele, kellele on usaldatud isikuandmete töötlemine kõnealusel eesmärgil;

3. For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in Article 22 shall be in writing or in another equivalent form.

b) töötlemise eesmärk või eesmärgid;

c) andmesubjektide kategooria või kategooriate ja nendega seotud andmete liigi või liikide kirjeldus;

SECTION 8

d) andmete töötlemise eesmärgi õiguslik alus;

DATA PROTECTION OFFICER

e) need vastuvõtjad või vastuvõtjate kategooriad, kellele andmed võidakse avaldada;

Article 24

f) üldine teave eri andmeliikide sulgemise ja kustutamise tähtaegade kohta;

Appointment and tasks of the Data Protection Officer

g) kavandatavad andmeedastused kolmandatele riikidele või rahvusvahelistele organisatsioonidele;

1. Each Community institution and Community body shall appoint at least one person as data protection officer. That person shall have the task of:

h) üldine kirjeldus, mis võimaldab anda eelhinnangu, kas artikli 22 kohased töötlemise turvalisust tagavad meetmed on otstarbekad.

(a) ensuring that controllers and data subjects are informed of their rights and obligations pursuant to this Regulation;

3. Igasugune muutus, mis mõjutab artiklit 2 osutatud teavet, tehakse andmekaitseametnikule teatavaks viivitamata.

(b) responding to requests from the European Data Protection Supervisor and, within the sphere of his or her competence, cooperating with the European Data Protection Supervisor at the latter's request or on his or her own initiative;

Artikkel 26

(d) keeping a register of the processing operations carried out by the controller, containing the items of information referred to in Article 25(2);

Iga andmekaitseametnik peab talle artikli 25 kohaselt teatavaks tehtud töötlemistoimingute registrit.

(e) notifying the European Data Protection Supervisor of the processing operations likely to present specific risks within the meaning of Article 27.

Registrid sisaldavad vähemalt artikli 25 lõike 2 punktides a–g osutatud teavet. Registreid võib iga inimene otse või kaudselt Euroopa andmekaitseinspektori kaudu kontrollida.

That person shall thus ensure that the rights and freedoms of the data subjects are unlikely to be adversely affected by the processing operations.

9. JAGU

2. The Data Protection Officer shall be selected on the basis of his or her personal and professional qualities and, in particular, his or her expert knowledge of data protection.

EUROOPA ANDMEKAITSEINSPEKTORI POOLNE EELKONTROLL JA KOOSTÖÖKOHUSTUS

3. The selection of the Data Protection Officer shall not be liable to result in a conflict of interests between his or her duty as Data Protection Officer and any other official duties, in particular in relation to the application of the provisions of this Regulation.

Artikkel 27

4. The Data Protection Officer shall be appointed for a term of between two and five years. He or she shall be eligible for reappointment up to a maximum total term of ten years. He or she may be dismissed from the post of Data Protection Officer by the Community institution or body which appointed him or her only with the consent of the European Data Protection Supervisor, if he or she no longer fulfils the conditions required for the performance of his or her duties.

Eelkontroll

5. After his or her appointment the Data Protection Officer shall be registered with the European Data Protection Supervisor by the institution or body which appointed him or her.

1. Töötlustoimingute suhtes, mis tõenäoliselt kujutavad oma olemuse, ulatuse või eesmärkide tõttu konkreetset ohtu andmesubjektide õigustele ja vabadustele, teostab Euroopa andmekaitseinspektor eelkontrolli.

6. The Community institution or body which appointed the Data Protection Officer shall provide him or her with the staff and resources necessary to carry out his or her duties.

2. Nimetatud ohtu kujutavad tõenäoliselt järgmised töötlemistoimingud:

7. With respect to the performance of his or her duties, the Data Protection Officer may not receive any instructions.

a) tervise ja oletatavate õiguserikkumiste, kriminaalkaristuste või julgeolekumeetmetega seotud andmete töötlemine;

8. Further implementing rules concerning the Data Protection Officer shall be adopted by each Community institution or body in accordance with the provisions in the Annex. The implementing rules shall in particular concern the tasks, duties and powers of the Data Protection Officer.

b) töötlemistoimingud, mille eesmärk on hinnata andmesubjekti isikuomadusi, sealhulgas tema võimekust, tulemuslikkust ja käitumist;

c) töötlemistoimingud, mis võimaldavad eri eesmärkidel töödeldavate andmete seostamist niisugusel viisil, mis ei ole siseriiklike või ühenduse õigusaktidega ette nähtud;

Article 25

d) töötlemistoimingud, mille eesmärk on jätta üksikisikuid ilma mingist õigusest, soodustusest või lepingust.

Notification to the Data Protection Officer

3. Eelkontrolli teostab Euroopa andmekaitseinspektor pärast teate saamist andmekaitseametnikult, kes eelkontrolli vajalikkuses kahtlemise korral konsulteerib Euroopa andmekaitseinspektoriga.

1. The controller shall give prior notice to the Data Protection Officer of any processing operation or set of such operations intended to serve a single purpose or several related purposes.

4. Euroopa andmekaitseinspektor esitab oma arvamuse kahe kuu jooksul alates teate saamisest. Nimetatud tähtaja kulu võib peatada, kuni Euroopa andmekaitseinspektor on saanud taotletud täiendavat informatsiooni. Kui küsimuse keerukus seda nõuab, võib Euroopa andmekaitseinspektor nimetatud tähtaega oma otsusega veel kahe kuu võrra pikendada. Vastavasisulise otsuse teeb ta vastutavale töötlejale teatavaks enne esimese kahekuulise tähtaja möödumist.

2. The information to be given shall include:

Kui arvamust ei ole kahekuulise tähtaja jooksul esitatud ega tähtaega pikendatud, loetakse arvamus positiivseks.

(a) the name and address of the controller and an indication of the organisational parts of an institution or body entrusted with the processing of personal data for a particular purpose;

Kui Euroopa andmekaitseinspektor leiab, et kõnesolev töötlemine võib viia käesoleva määruse mõne sätte rikkumisele, teeb ta vajaduse korral ettepanekud, et nimetatud rikkumist vältida. Kui vastutav töötleja töötlustoimingut sellele vastavalt ei kohanda, võib Euroopa andmekaitseinspektor kasutada talle artikli 47 lõikega 1 antud volitusi.

(b) the purpose or purposes of the processing;

5. Euroopa andmekaitseinspektor peab registrit kõikide talle lõike 2 kohaselt teatavaks tehtud töötlustoimingute kohta. Register sisaldab artiklis 25 osutatud teavet ning on avalikult kättesaadav.

Artikkel 28

(d) the legal basis of the processing operation for which the data are intended;

Konsulteerimine

(e) the recipients or categories of recipient to whom the data might be disclosed;

1. Ühenduse institutsioonid ja asutused teatavad Euroopa andmekaitseinspektorile isikuandmete töötlemisega seotud haldusmeetmete võtmisest ühenduse institutsiooni või asutuse sees või koostöös teistega.

(f) a general indication of the time limits for blocking and erasure of the different categories of data;

2. Võttes vastu ettepaneku koostada õigusakt, mis käsitleb üksikisikute õiguste ja vabaduste kaitset isikuandmete töötlemisel, konsulteerib komisjon Euroopa andmekaitseinspektoriga.

(g) proposed transfers of data to third countries or international organisations;

Artikkel 29

(h) a general description allowing a preliminary assessment to be made of the appropriateness of the measures taken pursuant to Article 22 to ensure security of processing.

Teavitamiskohustus

3. Any change affecting information referred to in paragraph 2 shall be notified promptly to the Data Protection Officer.

Ühenduse institutsioonid ja asutused teavitavad Euroopa andmekaitseinspektorit meetmetest, mis on võetud vastavalt artikli 46 punktis h osutatud Euroopa andmekaitseinspektori otsustele või lubadele.

Artikkel 30

Article 26

Koostöökohustus

Euroopa andmekaitseinspektori taotluse korral osutavad vastutavad töötlejad talle tema tegevuses abi, eelkõige andes artikli 47 lõike 2 punktis a osutatud teavet ning võimaldades artikli 47 lõike 2 punktis b osutatud juurepääsu.

A register of processing operations notified in accordance with Article 25 shall be kept by each Data Protection Officer.

Artikkel 31

The registers shall contain at least the information referred to in Article 25(2)(a) to (g). The registers may be inspected by any person directly or indirectly through the European Data Processing Supervisor.

Süüdistustele vastamise kohustus

Vastuseks Euroopa andmekaitseinspektori artikli 47 lõike 1 punkti b kohasele tegevusele teavitab asjaomane vastutav töötleja inspektorit oma seisukohtadest inspektori määratud mõistliku tähtaja jooksul. Vastuses kirjeldatakse ka Euroopa andmekaitseinspektori märkustega seoses rakendatud meetmeid, kui neid on võetud.

SECTION 9

III PEATÜKK

PRIOR CHECKING BY THE EUROPEAN DATA PROTECTION SUPERVISOR AND OBLIGATION TO COOPERATE

ÕIGUSKAITSEVAHENDID

Article 27

Artikkel 32

Prior checking

Õiguskaitsevahendid

1. Processing operations likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes shall be subject to prior checking by the European Data Protection Supervisor.

1. Kõikide käesoleva määruse sätetega seotud vaidluste, sealhulgas kahjunõuete lahendamine kuulub Euroopa Ühenduste Kohtu päevusse.

2. The following processing operations are likely to present such risks:

2. Ilma et see mõjutaks kohtu poole pöördumist, võib iga andmesubjekt esitada Euroopa andmekaitseinspektorile kaebuse, kui ta leiab, et tema isikuandmete töötlemisega ühenduse institutsioonis või asutuses on rikutud tema asutamislepingu artiklist 286 tulenevaid õigusi.

(a) processing of data relating to health and to suspected offences, offences, criminal convictions or security measures;

Kui Euroopa andmekaitseinspektor ei anna vastust kuue kuu jooksul, loetakse kaebus tagasilükatuks.

(b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, efficiency and conduct;

3. Kaebused Euroopa andmekaitseinspektori otsuste peale esitatakse Euroopa Ühenduste Kohtusse.

(c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data processed for different purposes;

4. Isikul, kellele on ebaseadusliku töötlemistoiminguga või käesolevast määrusest kõrvalekalduva tegevusega tekitatud kahju, on õigus asutamislepingu artikli 288 kohaselt nõuda kahju hüvitamist.

(d) processing operations for the purpose of excluding individuals from a right, benefit or contract.

Artikkel 33

3. The prior checks shall be carried out by the European Data Protection Supervisor following receipt of a notification from the Data Protection Officer who, in case of doubt as to the need for prior checking, shall consult the European Data Protection Supervisor.

Ühenduse töötajate kaebused

4. The European Data Protection Supervisor shall deliver his or her opinion within two months following receipt of the notification. This period may be suspended until the European Data Protection Supervisor has obtained any further information that he or she may have requested. When the complexity of the matter so requires, this period may also be extended for a further two months, by decision of the European Data Protection Supervisor. This decision shall be notified to the controller prior to expiry of the initial two-month period.

Iga ühenduse institutsiooni või asutuse töötaja võib Euroopa andmekaitseinspektorile väljaspool ametlikke kanaleid esitada kaebuse käesoleva määruse isikuandmete töötlemist reguleerivate sätete väidetava rikkumise kohta. Kedagi ei tohi kahjustada Euroopa andmekaitseinspektorile esitatud kaebuse tõttu, milles väidetakse rikutavat isikuandmete töötlemisega seotud sätteid.

If the opinion has not been delivered by the end of the two-month period, or any extension thereof, it shall be deemed to be favourable.

IV PEATÜKK

If the opinion of the European Data Protection Supervisor is that the notified processing may involve a breach of any provision of this Regulation, he or she shall where appropriate make proposals to avoid such breach. Where the controller does not modify the processing operation accordingly, the European Data Protection Supervisor may exercise the powers granted to him or her under Article 47(1).

ISIKUANDMETE JA ERAELU PUUTUMATUSE KAITSE TELEKOMMUNIKATSIOONIVÕRKUDES

5. The European Data Protection Supervisor shall keep a register of all processing operations that have been notified to him or her pursuant to paragraph 2. The register shall contain the information referred to in Article 25 and shall be open to public inspection.

Artikkel 34

Reguleerimisala

Article 28

Ilma et see mõjutaks käesoleva määruse teiste sätete kohaldamist, kohaldatakse käesolevat peatükki siis, kui isikuandmete töötlemisel kasutatakse telekommunikatsioonivõrku või lõppseadmeid, mis on ühenduse institutsiooni või asutuse kontrolli all.

Consultation

Käesoleva peatüki kohaldamisel on "kasutaja" füüsiline isik, kes kasutab telekommunikatsioonivõrku või lõppseadmeid, mis on ühenduse institutsiooni või asutuse kontrolli all.

1. The Community institutions and bodies shall inform the European Data Protection Supervisor when drawing up administrative measures relating to the processing of personal data involving a Community institution or body alone or jointly with others.

Artikkel 35

2. When it adopts a legislative proposal relating to the protection of individuals' rights and freedoms with regard to the processing of personal data, the Commission shall consult the European Data Protection Supervisor.

Turvalisus

1. Ühenduse institutsioonid ja asutused võtavad kohaseid tehnilisi ja organisatsioonilisi meetmeid, et tagada telekommunikatsioonivõrkude ja lõppseadmete turvaline kasutamine, vajaduse korral koostöös üldkasutatavate telekommunikatsiooniteenuste osutajate või üldkasutatavate telekommunikatsioonivõrkude operaatoritega. Tehnika taset ja kõnealuste meetmete rakenduskulusid arvesse võttes tagatakse nende meetmetega võimalikule ohule vastav turvalisuse tase.

Article 29

2. Võrgu ja lõppseadmete turvalisuse rikkumise konkreetse ohu korral teavitab asjaomane ühenduse institutsioon või asutus kasutajaid ohu olemasolust ning võimalikest abinõudest ja alternatiivsetest sidevahenditest.

Obligation to provide information

Artikkel 36

The Community institutions and bodies shall inform the European Data Protection Supervisor of the measures taken further to his or her decisions or authorisations as referred to in Article 46(h).

Teabevahetuse konfidentsiaalsus

Ühenduse institutsioonid ja asutused tagavad telekommunikatsioonivõrkude ja lõppseadmete kaudu toimuva teabevahetuse konfidentsiaalsuse vastavalt ühenduse õiguse põhiprintsiipidele.

Article 30

Artikkel 37

Obligation to cooperate

Andmeliiklus- ja arveldusandmed

At his or her request, controllers shall assist the European Data Protection Supervisor in the performance of his or her duties, in particular by providing the information referred to in Article 47(2)(a) and by granting access as provided in Article 47(2)(b).

1. Pärast kõne või muu sideseansi lõppu kustutatakse või muudetakse anonüümseks kasutajatega seotud andmeliiklusandmed, mida kasutati ja hoiti telekommunikatsioonivõrgu vahendusel toimunud kõnede või muude sideseansside korral; öeldu ei mõjuta lõigete 2, 3 ja 4 kohaldamist.

2. Vajaduse korral võib Euroopa andmekaitseinspektoriga kooskõlastatud loetelus nimetatud andmeliiklusandmeid töödelda telekommunikatsiooni eelarve ja andmeliikluse haldamiseks, sealhulgas telekommunikatsioonisüsteemide seadusliku kasutuse kontrollimiseks. Nimetatud andmed kustutatakse või muudetakse anonüümseks niipea kui võimalik, aga hiljemalt kuus kuud pärast kogumist, kui neid ei ole tarvis säilitada kauem mõne õiguse tõendamiseks, teostamiseks või kaitsmiseks kohtus menetlemisel olevas asjas.

Article 31

3. Andmeliiklus- ja arveldusandmeid võivad töödelda üksnes arveldamise, andmeliikluse või eelarve haldamisega tegelevad isikud.

Obligation to react to allegations

4. Telekommunikatsioonivõrkude kasutajatel on õigus saada eristuseta arveid või muid registreeritud andmeid valitud kõnede kohta.

In response to the European Data Protection Supervisor's exercise of his or her powers under Article 47(1)(b), the controller concerned shall inform the Supervisor of its views within a reasonable period to be specified by the Supervisor. The reply shall also include a description of the measures taken, if any, in response to the remarks of the European Data Protection Supervisor.

Artikkel 38

Kasutajakataloogid

CHAPTER III

1. Elektroonilistes või trükitud kasutajakataloogides sisalduvaid isikuandmeid ning juurdepääsu sellistele kataloogidele tuleb piirata sellise määrani, mis on tingimata vajalik kataloogi konkreetsete ülesannete täitmiseks.

REMEDIES

2. Ühenduse institutsioonid ja asutused võtavad kõik vajalikud meetmed, et takistada nimetatud kataloogides sisalduvate isikuandmete kasutamist otseturustuse eesmärkidel, olenemata sellest, kas need kataloogid on avalikkusele kättesaadavad või mitte.

Article 32

Artikkel 39

Remedies

Helistaja ja vastuvõtja numbri kuvamisteenus ja sellest keeldumine

1. The Court of Justice of the European Communities shall have jurisdiction to hear all disputes which relate to the provisions of this Regulation, including claims for damages.

1. Kui pakutakse helistaja numbri kuvamisteenust, peab helistajal olema võimalus lihtsate vahenditega ja tasuta keelduda oma numbri kuvamisest.

2. Without prejudice to any judicial remedy, every data subject may lodge a complaint with the European Data Protection Supervisor if he or she considers that his or her rights under Article 286 of the Treaty have been infringed as a result of the processing of his or her personal data by a Community institution or body.

2. Kui pakutakse helistaja numbri kuvamisteenust, peab vastuvõtjal olema võimalus lihtsate vahenditega ja tasuta keelduda sissetulevate kõnede numbrite kuvamisest.

In the absence of a response by the European Data Protection Supervisor within six months, the complaint shall be deemed to have been rejected.

3. Kui pakutakse vastuvõtja numbri kuvamisteenust, peab vastuvõtjal olema võimalus lihtsate vahenditega ja tasuta keelduda oma numbri kuvamisest helistajale.

3. Actions against decisions of the European Data Protection Supervisor shall be brought before the Court of Justice of the European Communities.

4. Kui pakutakse helistaja või vastuvõtja numbri kuvamisteenust, teavitavad ühenduse institutsioonid ja asutused kasutajaid sellest ning lõigetes 1, 2 ja 3 ettenähtud võimalustest.

4. Any person who has suffered damage because of an unlawful processing operation or any action incompatible with this Regulation shall have the right to have the damage made good in accordance with Article 288 of the Treaty.

Artikkel 40

Erandid

Article 33

Ühenduste institutsioonid ja asutused tagavad läbipaistvad toimingud, mida kasutades saab vältida helistaja numbri kuvamisest hoidumist, mida tehakse:

Complaints by Community staff

a) ajutiselt, abonendi taotluse peale, kui see soovib pahatahtlike või häirivate kõnede allika kindlakstegemist;

Any person employed with a Community institution or body may lodge a complaint with the European Data Protection Supervisor regarding an alleged breach of the provisions of this Regulation governing the processing of personal data, without acting through official channels. No-one shall suffer prejudice on account of a complaint lodged with the European Data Protection Supervisor alleging a breach of the provisions governing the processing of personal data.

b) iga liini puhul eraldi sellistes organisatsiooniüksustes, mis tegelevad hädaabikõnedega, võimaldamaks sellistele kõnedele vastata.

V PEATÜKK

CHAPTER IV

SÕLTUMATU JÄRELEVALVEORGAN: EUROOPA ANDMEKAITSEINSPEKTOR

PROTECTION OF PERSONAL DATA AND PRIVACY IN THE CONTEXT OF INTERNAL TELECOMMUNICATIONS NETWORKS

Artikkel 41

Article 34

Euroopa andmekaitseinspektor

Scope

1. Käesolevaga luuakse sõltumatu järelevalveorgan, keda nimetatakse Euroopa andmekaitseinspektoriks.

Without prejudice to the other provisions of this Regulation, this Chapter shall apply to the processing of personal data in connection with the use of telecommunications networks or terminal equipment operated under the control of a Community institution or body.

2. Euroopa andmekaitseinspektor vastutab selle eest, et ühenduse institutsioonid ja asutused tagaksid isikuandmete töötlemisel füüsiliste isikute põhiõigused ja -vabadused, eelkõige nende õiguse eraelu puutumatusele.

For the purposes of this Chapter, "user" shall mean any natural person using a telecommunications network or terminal equipment operated under the control of a Community institution or body.

Euroopa andmekaitseinspektori ülesanne on jälgida ja tagada, et kohaldataks käesoleva määruse ning teiste ühenduse õigusaktide sätteid, mis käsitlevad füüsiliste isikute põhiõiguste ja -vabaduste kaitsmist isikuandmete töötlemisel ühenduse institutsioonides või asutustes, samuti ühenduse institutsioonide ja asutuste ning andmesubjektide nõustamine kõikides isikuandmete töötlemisega seotud küsimustes. Nimetatud eesmärgil täidab ta artiklis 46 ettenähtud ülesandeid ning kasutab talle artikliga 47 antud volitusi.

Artikkel 42

Article 35

Ametissenimetamine

Security

1. Euroopa andmekaitseinspektori nimetavad ametisse Euroopa Parlament ja nõukogu ühisel kokkuleppel viieks aastaks, lähtudes komisjoni poolt pärast avalikku kandideerimiskutset koostatud nimekirjast.

1. The Community institutions and bodies shall take appropriate technical and organisational measures to safeguard the secure use of the telecommunications networks and terminal equipment, if necessary in conjunction with the providers of publicly available telecommunications services or the providers of public telecommunications networks. Having regard to the state of the art and the cost of their implementation, these measures shall ensure a level of security appropriate to the risk presented.

Sama protseduuri kohaselt ning samaks tähtajaks nimetatakse ametisse inspektori asetäitja, kes abistab inspektorit kõigis ülesannetes ning tegutseb tema asendajana, kui inspektorit ei ole kohal või ta ei saa oma ülesandeid täita.

2. In the event of any particular risk of a breach of the security of the network and terminal equipment, the Community institution or body concerned shall inform users of the existence of that risk and of any possible remedies and alternative means of communication.

2. Euroopa andmekaitseinspektor valitakse isikute hulgast, kelle sõltumatuses ei ole kahtlust ning kelle puhul tunnustatakse Euroopa andmekaitseinspektori ülesannete täitmiseks vajalike kogemuste ja oskuste olemasolu, näiteks seetõttu, et nad kuuluvad või on kuulunud direktiivi 95/46/EÜ artiklis 28 osutatud järelevalveorganitesse.

3. Euroopa andmekaitseinspektorit võib ametisse uuesti tagasi nimetada.

Article 36

4. Kui tavaline asendamine või surm välja arvata, lõpevad Euroopa andmekaitseinspektori volitused ka siis, kui ta tagasi astub või kui ta lõike 5 kohaselt ametist vabastatakse.

Confidentiality of communications

5. Euroopa Kohus võib Euroopa andmekaitseinspektori Euroopa Parlamendi, nõukogu või komisjoni taotlusel ametist vabastada või pensioni ja muude seda asendavate soodustuste saamise õigusest ilma jätta, kui ta ei vasta enam oma ülesannete täitmiseks vajalikele tingimustele või kui ta leitakse olevat süüdi tõsistes üleastumistes.

Community institutions and bodies shall ensure the confidentiality of communications by means of telecommunications networks and terminal equipment, in accordance with the general principles of Community law.

6. Tavalise asendamise või vabatahtliku ametist lahkumise korral jääb Euroopa andmekaitseinspektor ametisse seniks, kui talle on määratud asendaja.

7. Euroopa andmekaitseinspektori suhtes kohaldatakse ka Euroopa ühenduste privileegide ja immuniteetide protokolli artikleid 12—15 ja 18.

Article 37

8. Lõikeid 2—7 kohaldatakse inspektori asetäitja suhtes.

Traffic and billing data

Artikkel 43

1. Without prejudice to the provisions of paragraphs 2, 3 and 4, traffic data relating to users which are processed and stored to establish calls and other connections over the telecommunications network shall be erased or made anonymous upon termination of the call or other connection.

Euroopa andmekaitseinspektori ülesannete täitmist, personali ja rahalisi vahendeid reguleerivad määrused ja üldtingimused

2. If necessary, traffic data as indicated in a list agreed by the European Data Protection Supervisor may be processed for the purpose of telecommunications budget and traffic management, including the verification of authorised use of the telecommunications systems. These data shall be erased or made anonymous as soon as possible and no later than six months after collection, unless they need to be kept for a longer period to establish, exercise or defend a right in a legal claim pending before a court.

1. Euroopa Parlament, nõukogu ja komisjon määravad ühisel kokkuleppel kindlaks Euroopa andmekaitseinspektori ülesandeid ning eelkõige tema palka, toetusi ja muid töötasu asemel antavaid soodustusi reguleerivad määrused ja üldtingimused.

3. Processing of traffic and billing data shall only be carried out by persons handling billing, traffic or budget management.

2. Eelarveasutus tagab, et Euroopa andmekaitseinspektorile antakse tema ülesannete täitmiseks vajalikud inimressursid ja rahalised vahendid.

4. Users of the telecommunication networks shall have the right to receive non-itemised bills or other records of calls made.

3. Euroopa andmekaitseinspektori eelarve esitatakse Euroopa Liidu üldeelarve VIII jaos eraldi rubriigis.

4. Euroopa andmekaitseinspektorit abistab sekretariaat. Sekretariaadi ametnikud ja teised töötajad nimetab ametisse Euroopa andmekaitseinspektor; nad alluvad otse Euroopa andmekaitseinspektorile ning täidavad üksnes tema juhendeid. Nende arv määratakse igal aastal kindlaks eelarvemenetluse käigus.

Article 38

5. Euroopa andmekaitseinspektori ametnike ja teiste töötajate suhtes kohaldatakse Euroopa ühenduste ametnike ja teiste teenistujate suhtes kohaldatavaid eeskirju ja määrusi.

Directories of users

6. Sekretariaadi personaliga seotud küsimustes on Euroopa andmekaitseinspektori seisund samasugune kui asutustel Euroopa ühenduste ametnike personalieeskirjade artikli 1 tähenduses.

1. Personal data contained in printed or electronic directories of users and access to such directories shall be limited to what is strictly necessary for the specific purposes of the directory.

Artikkel 44

2. The Community institutions and bodies shall take all the necessary measures to prevent personal data contained in those directories, regardless of whether they are accessible to the public or not, from being used for direct marketing purposes.

Sõltumatus

1. Euroopa andmekaitseinspektor on oma ülesannete täitmisel täielikult sõltumatu.

Article 39

2. Oma kohustuste täitmisel ei taotle ega võta Euroopa andmekaitseinspektor vastu juhendeid teistelt isikutelt.

Presentation and restriction of calling and connected line identification

3. Euroopa andmekaitseinspektor hoidub oma kohustustega sobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul tasustataval või mittetasustataval ametikohal.

1. Where presentation of calling-line identification is offered, the calling user shall have the possibility via a simple means, free of charge, to eliminate the presentation of the calling-line identification.

4. Euroopa andmekaitseinspektor käitub pärast oma ametiaja lõppu ametikohti ja soodustusi vastu võttes väärikalt ning diskreetselt.

2. Where presentation of calling-line identification is offered, the called user shall have the possibility via a simple means, free of charge, to prevent the presentation of the calling-line identification of incoming calls.

Artikkel 45

3. Where presentation of connected-line identification is offered, the called user shall have the possibility via a simple means, free of charge, to eliminate the presentation of the connected-line identification to the calling user.

Ametisaladus

4. Where presentation of calling or connected-line identification is offered, the Community institutions and bodies shall inform the users thereof and of the possibilities set out in paragraphs 1, 2 and 3.

Euroopa andmekaitseinspektor ja ta personal on kohustatud nii ametiajal kui ka pärast ametist lahkumist hoidma ametisaladust igasuguse konfidentsiaalse teabe suhtes, mis neile ametikohustuste täitmisel on teatavaks saanud.

Artikkel 46

Article 40

Kohustused

Derogations

Euroopa andmekaitseinspektor:

Community institutions and bodies shall ensure that there are transparent procedures governing the way in which they may override the elimination of the presentation of calling-line identification:

a) kuulab ja uurib kaebusi ning teavitab andmesubjekti tulemustest mõistliku aja jooksul;

(a) on a temporary basis, upon application of a user requesting the tracing of malicious or nuisance calls;

b) teostab omaalgatuslikult või kaebuse alusel uurimist ning teeb tulemuse andmesubjektile teatavaks mõistliku aja jooksul;

(b) on a per-line basis for organisational entities dealing with emergency calls, for the purpose of answering such calls.

c) jälgib ning tagab, et kohaldataks käesoleva määruse ja muude ühenduse õigusaktide sätteid, mis käsitlevad füüsiliste isikute kaitsmist isikuandmete töötlemisel ühenduse institutsioonides või asutustes, välja arvatud õigusemõistmispädevuse piires tegutsevas Euroopa Ühenduste Kohtus;

d) nõustab omaalgatuslikult või konsultatsiooni korras kõiki ühenduse institutsioone ja asutusi kõikides isikuandmete töötlemisega seotud küsimustes, eelkõige enne seda, kui viimati nimetatud koostavad oma sise-eeskirjad põhiõiguste ja -vabaduste kaitse kohta isikuandmete töötlemisel;

CHAPTER V

e) jälgib isikuandmete kaitsmist mõjutavaid asjaomaseid arenguid, eelkõige info- ja sidetehnoloogia arengut;

INDEPENDENT SUPERVISORY AUTHORITY: THE EUROPEAN DATA PROTECTION SUPERVISOR

f) i) teeb riikides, kelle suhtes kohaldatakse direktiivi 95/46/EÜ, nimetatud direktiivi artiklis 28 osutatud siseriiklike järelevalveorganitega nende kohustuste täitmiseks vajalikku koostööd, eelkõige vahetades kõikvõimalikku kasulikku infot, paludes sellisel asutusel või organil kasutada oma volitusi või vastates sellise ametiasutuse või organi taotlusele;

Article 41

ii) teeb koostööd ka Euroopa Liidu lepingu VI jaotise kohaselt loodud andmekaitse valdkonna järelevalveorganitega eelkõige selleks, et parandada nende eeskirjade ja menetluste kohaldamise järjekindlust, mille järgimise eest nad vastutavad;

European Data Protection Supervisor

g) võtab osa üksikisikute kaitsmist isikuandmete töötlemisel käsitleva töörühma tööst, mis on loodud direktiivi 95/46/EÜ artikli 29 kohaselt;

1. An independent supervisory authority is hereby established referred to as the European Data Protection Supervisor.

h) määrab kindlaks, põhjendab ning avaldab artikli 10 lõike 2 punktis b, lõigetes 4, 5 ja 6, artikli 12 lõikes 2, artiklis 19 ja artikli 37 lõikes 2 nimetatud erandid, tagatised, load ja tingimused;

2. With respect to the processing of personal data, the European Data Protection Supervisor shall be responsible for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to privacy, are respected by the Community institutions and bodies.

i) peab registrit talle artikli 27 lõike 2 kohaselt teatavaks tehtud ning artikli 27 lõike 5 kohaselt registreeritud töötlemistoimingute kohta ning tagab juurdepääsu andmekaitseametnike poolt artikli 26 kohaselt peetavatele registritele;

The European Data Protection Supervisor shall be responsible for monitoring and ensuring the application of the provisions of this Regulation and any other Community act relating to the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data by a Community institution or body, and for advising Community institutions and bodies and data subjects on all matters concerning the processing of personal data. To these ends he or she shall fulfil the duties provided for in Article 46 and exercise the powers granted in Article 47.

j) teostab eelkontrolli töötluste kohta, millest talle on teatatud;

k) kehtestab oma töökorra.

Article 42

Artikkel 47

Appointment

Pädevus

1. The European Parliament and the Council shall appoint by common accord the European Data Protection Supervisor for a term of five years, on the basis of a list drawn up by the Commission following a public call for candidates.

1. Euroopa andmekaitseinspektor võib:

An Assistant Supervisor shall be appointed in accordance with the same procedure and for the same term, who shall assist the Supervisor in all the latter's duties and act as a replacement when the Supervisor is absent or prevented from attending to them.

a) nõustada andmesubjekte nende õiguste kasutamisel;

2. The European Data Protection Supervisor shall be chosen from persons whose independence is beyond doubt and who are acknowledged as having the experience and skills required to perform the duties of European Data Protection Supervisor, for example because they belong or have belonged to the supervisory authorities referred to in Article 28 of Directive 95/46/EC.

b) edastada isikuandmete töötlemist käsitlevate sätete väidetava rikkumise korral asja arutamiseks vastutavale töötlejale ning vajaduse korral teha ettepanekuid rikkumise kõrvaldamiseks ning andmesubjektide kaitse parandamiseks;

3. The European Data Protection Supervisor shall be eligible for reappointment.

c) anda käsu täita taotlusi, mis on seotud andmeid puudutavate õiguste kasutamisega, kui sellised taotlused on artikleid 13—19 rikkudes tagasi lükatud;

4. Apart from normal replacement or death, the duties of the European Data Protection Supervisor shall end in the event of resignation or compulsory retirement in accordance with paragraph 5.

d) vastutavat töötlejat hoiatada või teha talle märkuse;

5. The European Data Protection Supervisor may be dismissed or deprived of his or her right to a pension or other benefits in its stead by the Court of Justice at the request of the European Parliament, the Council or the Commission, if he or she no longer fulfils the conditions required for the performance of his or her duties or if he or she is guilty of serious misconduct.

e) anda käsu kõik andmed parandada, sulgeda, kustutada või hävitada, kui neid on kasutatud isikuandmete töötlemist reguleerivaid sätteid rikkudes, ning teavitada nimetatud meetmetest kolmandaid isikuid, kellele andmed on avaldatud;

6. In the event of normal replacement or voluntary resignation, the European Data Protection Supervisor shall nevertheless remain in office until he or she has been replaced.

f) kehtestada ajutise või tähtajatu töötlemiskeelu;

7. Articles 12 to 15 and 18 of the Protocol on the Privileges and Immunities of the European Communities shall also apply to the European Data Protection Supervisor.

g) edastada asja arutamiseks asjaomasele ühenduse institutsioonile või asutusele või vajaduse korral Euroopa Parlamendile, nõukogule ja komisjonile;

8. Paragraphs 2 to 7 shall apply to the Assistant Supervisor.

h) edastada asja asutamislepingus sätestatud tingimustel arutamiseks Euroopa Ühenduste Kohtusse;

i) sekkuda Euroopa Ühenduste Kohtusse antud asjade arutamisse.

Article 43

2. Euroopa andmekaitseinspektoril on õigus:

Regulations and general conditions governing the performance of the European Data Protection Supervisor's duties, staff and financial resources

a) saada vastutavalt töötlejalt või ühenduse institutsioonilt või asutuselt juurdepääs kõikidele tema uurimisteks vajalikele isikuandmetele ja kogu teabele;

1. The European Parliament, the Council and the Commission shall by common accord determine the regulations and general conditions governing the performance of the European Data Protection Supervisor's duties and in particular his or her salary, allowances and any other benefits in lieu of remuneration.

b) pääseda kõikidesse tööruumidesse, kus vastutav töötleja või ühenduse institutsioon või asutus tegutseb, kui on põhjust arvata, et seal teostatakse käesoleva määruse reguleerimisalasse kuuluvaid toiminguid.

2. The budget authority shall ensure that the European Data Protection Supervisor is provided with the human and financial resources necessary for the performance of his or her tasks.

Artikkel 48

3. The European Data Protection Supervisor's budget shall be shown in a separate budget heading in Section VIII of the general budget of the European Union.

Tegevusaruanne

4. The European Data Protection Supervisor shall be assisted by a Secretariat. The officials and the other staff members of the Secretariat shall be appointed by the European Data Protection Supervisor; their superior shall be the European Data Protection Supervisor and they shall be subject exclusively to his or her direction. Their numbers shall be decided each year as part of the budgetary procedure.

1. Euroopa andmekaitseinspektor esitab igal aastal Euroopa Parlamendile, nõukogule ja komisjonile oma tegevuse aruande ning samaaegselt ka avaldab selle.

5. The officials and the other staff members of the European Data Protection Supervisor's Secretariat shall be subject to the rules and regulations applicable to officials and other servants of the European Communities.

2. Euroopa andmekaitseinspektor saadab tegevusaruande teistele ühenduse institutsioonidele ja asutustele, kes võivad avaldada arvamust seoses aruande võimaliku läbivaatamisega Euroopa Parlamendis, eelkõige seoses nende meetmete kirjeldamisega, mis on vastu võetud vastusena Euroopa andmekaitseinspektori artikli 31 kohastele märkustele.

6. In matters concerning the Secretariat staff, the European Data Protection Supervisor shall have the same status as the institutions within the meaning of Article 1 of the Staff Regulations of Officials of the European Communities.

VI PEATÜKK

LÕPPSÄTTED

Article 44

Artikkel 49

Independence

Sanktsioonid

1. The European Data Protection Supervisor shall act in complete independence in the performance of his or her duties.

Käesoleva määrusega ettenähtud kohustuste ettekavatsetud või hooletusest tingitud täitmatajätmise korral kohaldatakse Euroopa ühenduste ametniku või teenistuja suhtes distsiplinaarmenetlust Euroopa ühenduste ametnike personalieeskirjadega või teiste teenistujate teenistustingimustega määratud korras.

2. The European Data Protection Supervisor shall, in the performance of his or her duties, neither seek nor take instructions from anybody.

Artikkel 50

3. The European Data Protection Supervisor shall refrain from any action incompatible with his or her duties and shall not, during his or her term of office, engage in any other occupation, whether gainful or not.

Üleminekuperiood

4. The European Data Protection Supervisor shall, after his or her term of office, behave with integrity and discretion as regards the acceptance of appointments and benefits.

Ühenduse institutsioonid ja asutused tagavad, et käesoleva määruse jõustumise hetkeks juba alustatud töötlemistoimingud viiakse käesoleva määrusega kooskõlla ühe aasta jooksul nimetatud kuupäevast alates.

Artikkel 51

Article 45

Jõustumine

Professional secrecy

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Ühenduste Teatajas.

The European Data Protection Supervisor and his or her staff shall, both during and after their term of office, be subject to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their official duties.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Article 46

Brüssel, 18. detsember 2000

Duties

Euroopa Parlamendi nimel

The European Data Protection Supervisor shall:

President

(a) hear and investigate complaints, and inform the data subject of the outcome within a reasonable period;

N. Fontaine

(b) conduct inquiries either on his or her own initiative or on the basis of a complaint, and inform the data subjects of the outcome within a reasonable period;

Nõukogu nimel

(c) monitor and ensure the application of the provisions of this Regulation and any other Community act relating to the protection of natural persons with regard to the processing of personal data by a Community institution or body with the exception of the Court of Justice of the European Communities acting in its judicial capacity;

eesistuja

(d) advise all Community institutions and bodies, either on his or her own initiative or in response to a consultation, on all matters concerning the processing of personal data, in particular before they draw up internal rules relating to the protection of fundamental rights and freedoms with regard to the processing of personal data;

D. Voynet

(e) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies;

[1] EÜT C 376 E, 28.12.1999, lk 24.

(f) (i) cooperate with the national supervisory authorities referred to in Article 28 of Directive 95/46/EC in the countries to which that Directive applies to the extent necessary for the performance of their respective duties, in particular by exchanging all useful information, requesting such authority or body to exercise its powers or responding to a request from such authority or body;

[2] EÜT C 51, 23.2.2000, lk 48.

(ii) also cooperate with the supervisory data protection bodies established under Title VI of the Treaty on European Union particularly with a view to improving consistency in applying the rules and procedures with which they are respectively responsible for ensuring compliance;

[3] Euroopa Parlamendi 14. novembri 2000. aasta arvamus ja nõukogu 30. novembri 2000. aasta otsus.

(g) participate in the activities of the Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up by Article 29 of Directive 95/46/EC;

[4] EÜT L 281, 23.11.1995, lk 31.

(h) determine, give reasons for and make public the exemptions, safeguards, authorisations and conditions mentioned in Article 10(2)(b),(4), (5) and (6), in Article 12(2), in Article 19 and in Article 37(2);

[5] EÜT L 24, 30.1.1998, lk 1.

(i) keep a register of processing operations notified to him or her by virtue of Article 27(2) and registered in accordance with Article 27(5), and provide means of access to the registers kept by the Data Protection Officers under Article 26;

[6] EÜT L 52, 22.2.1997, lk 1.

(j) carry out a prior check of processing notified to him or her;

[7] EÜT L 318, 27.11.1998, lk 8.

(k) establish his or her Rules of Procedure.

[8] EÜT L 151, 15.6.1990, lk 1. Määrust on muudetud määrusega (EÜ) nr 322/97 (EÜT L 52, 22.2.1997, lk 1).

--------------------------------------------------

Article 47

LISA

Powers

1. Andmekaitseametnik võib ta ametisse nimetanud ühenduse institutsioonile või asutusele anda soovitusi andmekaitse parandamiseks ning nõustada seda ja vastutavat töötlejat andmekaitsealaste sätete kohaldamise küsimustes. Lisaks võib ta omal algatusel või ta ametisse nimetanud ühenduse institutsiooni või asutuse, vastutava töötleja, asjaomase personalikomitee või iga üksikisiku taotlusel uurida tema kohustustega otseselt seotud ning talle teatavaks saanud küsimusi või juhtumeid ja anda tulemuste kohta aru uurimise taotlejale või vastutavale töötlejale.

1. The European Data Protection Supervisor may:

2. Ühenduse institutsioon või asutus, kes ta ametisse nimetas, vastutav töötleja, asjaomane personalikomitee ja iga üksikisik võib andmekaitseametnikuga väljaspool ametlikke kanaleid konsulteerida kõikides käesoleva määruse tõlgendamise või kohaldamisega seotud küsimustes.

(a) give advice to data subjects in the exercise of their rights;

3. Kedagi ei tohi kahjustada seepärast, et ta juhtis pädeva andmekaitseametniku tähelepanu väidetavale käesoleva määruse sätete rikkumisele.

(b) refer the matter to the controller in the event of an alleged breach of the provisions governing the processing of personal data, and, where appropriate, make proposals for remedying that breach and for improving the protection of the data subjects;

4. Iga asjaomane vastutav töötleja on kohustatud andmekaitseametnikku tema kohustuste täitmisel abistama ning vastama tema päringutele. Ametikohustuste täitmisel on andmekaitseametnikul alati juurdepääs töötlemise objektiks olevatele andmetele ja kõikidele tööruumidele, andmetöötlusseadmetele ning andmekandjatele.

(c) order that requests to exercise certain rights in relation to data be complied with where such requests have been refused in breach of Articles 13 to 19;

5. Andmekaitseametnik vabastatakse vajaduse piires teistest ametikohustustest. Andmekaitseametnik ja ta personal, kelle suhtes kohaldatakse asutamislepingu artiklit 287, ei tohi avalikustada töökohustuste täitmise käigus saadud teavet ega dokumente.

(d) warn or admonish the controller;

--------------------------------------------------

(e) order the rectification, blocking, erasure or destruction of all data when they have been processed in breach of the provisions governing the processing of personal data and the notification of such actions to third parties to whom the data have been disclosed;

(f) impose a temporary or definitive ban on processing;

(g) refer the matter to the Community institution or body concerned and, if necessary, to the European Parliament, the Council and the Commission;

(h) refer the matter to the Court of Justice of the European Communities under the conditions provided for in the Treaty;

(i) intervene in actions brought before the Court of Justice of the European Communities.

2. The European Data Protection Supervisor shall have the power:

(a) to obtain from a controller or Community institution or body access to all personal data and to all information necessary for his or her enquiries;

(b) to obtain access to any premises in which a controller or Community institution or body carries on its activities when there are reasonable grounds for presuming that an activity covered by this Regulation is being carried out there.

Article 48

Activities report

1. The European Data Protection Supervisor shall submit an annual report on his or her activities to the European Parliament, the Council and the Commission and at the same time make it public.

2. The European Data Protection Supervisor shall forward the activities report to the other Community institutions and bodies, which may submit comments with a view to possible examination of the report in the European Parliament, in particular in relation to the description of the measures taken in response to the remarks made by the European Data Protection Supervisor under Article 31.

CHAPTER VI

FINAL PROVISIONS

Article 49

Sanctions

Any failure to comply with the obligations pursuant to this Regulation, whether intentionally or through negligence on his or her part, shall make an official or other servant of the European Communities liable to disciplinary action, in accordance with the rules and procedures laid down in the Staff Regulations of Officials of the European Communities or in the conditions of employment applicable to other servants.

Article 50

Transitional period

Community institutions and bodies shall ensure that processing operations already under way on the date this Regulation enters into force are brought into conformity with this Regulation within one year of that date.

Article 51

Entry into force

This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Communities.

This Regulation shall be binding in its entirety and directly applicable in all Member States.

Done at Brussels, 18 December 2000.

For the European Parliament

The President

N. Fontaine

For the Council

The President

D. Voynet

(1) OJ C 376E, 28.12.1999, p. 24.

(2) OJ C 51, 23.2.2000, p. 48.

(3) Opinion of the European Parliament of 14 November 2000 and Council Decision of 30 November 2000.

(4) OJ L 281, 23.11.1995, p. 31.

(5) OJ L 24, 30.1.1998, p. 1.

(6) OJ L 52, 22.2.1997, p. 1.

(7) OJ L 318, 27.11.1998, p. 8.

(8) OJ L 151, 15. 6.1990, p. 1. Regulation as amended by Regulation (EC) No 322/97 (OJ L 52, 22.2.1997, p. 1).

ANNEX

1. The Data Protection Officer may make recommendations for the practical improvement of data protection to the Community institution or body which appointed him or her and advise it and the controller concerned on matters concerning the application of data protection provisions. Furthermore he or she may, on his or her own initiative or at the request of the Community institution or body which appointed him or her, the controller, the Staff Committee concerned or any individual, investigate matters and occurrences directly relating to his or her tasks and which come to his or her notice, and report back to the person who commissioned the investigation or to the controller.

2. The Data Protection Officer may be consulted by the Community institution or body which appointed him or her, by the controller concerned, by the Staff Committee concerned and by any individual, without going through the official channels, on any matter concerning the interpretation or application of this Regulation.

3. No one shall suffer prejudice on account of a matter brought to the attention of the competent Data Protection Officer alleging that a breach of the provisions of this Regulation has taken place.

4. Every controller concerned shall be required to assist the Data Protection Officer in performing his or her duties and to give information in reply to questions. In performing his or her duties, the Data Protection Officer shall have access at all times to the data forming the subject-matter of processing operations and to all offices, data-processing installations and data carriers.

5. To the extent required, the Data Protection Officer shall be relieved of other activities. The Data Protection Officer and his or her staff, to whom Article 287 of the Treaty shall apply, shall be required not to divulge information or documents which they obtain in the course of their duties.

Top

BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV	BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV
en	et

Bilingual display

en

et