SELETUSKIRI

1. ETTEPANEKU TAUST

Käesolevas seletuskirjas on kirjeldatud üksikasjalikumalt uut ELi õigusraamistikku isikuandmete kaitse valdkonnas, nagu see on esitatud teatises KOM(2012) 9 (final). Õigusraamistik koosneb kahest seadusandlikust ettepanekust:

– ettepanek võtta vastu Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) ning

– ettepanek võtta vastu Euroopa Parlamendi ja nõukogu direktiiv üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta.

Käesolevas seletuskirjas on käsitletud neist viimast.

Isikuandmete kaitset käsitlev ELi n-ö tuumikõigusakt, direktiiv 95/46/EÜ,[1] võeti 1995. aastal vastu kahel eesmärgil: et kaitsta põhiõigust isikuandmete kaitsele ja tagada isikuandmete vaba liikumine liikmesriikide vahel. Seda täiendati mitme õigusaktiga, milles sätestati kindlad isikuandmete kaitse eeskirjad kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonnas[2] (endine kolmas sammas), sealhulgas raamotsus 2008/977/JHA[3].

Euroopa Ülemkogu palus komisjonil hinnata isikuandmete kaitset käsitlevate ELi õigusaktide toimimist ning esitada vajaduse korral täiendavaid seadusandlikke ja muid algatusi[4]. Euroopa Parlament[5] avaldas oma resolutsioonis Stockholmi programmi kohta heameelt ELi tervikliku isikuandmete kaitse süsteemi üle ning kutsus muu hulgas vaatama läbi raamotsust. Komisjon rõhutas oma Stockholmi programmi rakendamise tegevuskavas[6] vajadust tagada, et ELi kõigis poliitikavaldkondades kaitstakse alati põhiõigust isikuandmete kaitsele. Tegevuskavas märgiti, et „globaalses ühiskonnas, kus toimuvad kiired tehnoloogilised muutused ja teabevahetus ei tunne piire, on eraelu puutumatuse kaitse eriti oluline. Liit peab tagama, et alati kaitstakse põhiõigust isikuandmete kaitsele. Peame kindlustama, et ELis võetakse jäigem seisukoht üksikisiku isikuandmete kaitse suhtes kõikides poliitikavaldkondades, sealhulgas õigusaktide täitmise tagamise ja kuritegude vältimise ning välissuhete valdkonnas.”

Teatises „Terviklik lähenemisviis isikuandmete kaitsele Euroopa Liidus”[7] märkis komisjon kokkuvõtvalt, et EL vajab ulatuslikku ja terviklikku lähenemisviisi, millega oleks tagatud isikuandmete kaitset käsitleva põhiõiguse austamine.

Raamotsuse 2008/977/JSK reguleerimisala on piiratud, sest seda kohaldatakse üksnes piiriülese andmetöötluse suhtes ja see ei hõlma andmete töötlemist riigi tasandi politsei- ega õigusasutustes. See võib tekitada politsei- ja muudele pädevatele asutustele kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas probleeme. Nimetatud asutustel on keeruline teha vahet riigi tasandi ja piiriülese andmete töötlemise vahel ning aimata, kas teatavaid isikuandmeid võidakse mõnes hilisemas etapis piiriüleselt vahetada (vt jaotis 2). Lisaks jätab raamotsus oma laadi ja sisu tõttu liikmesriikidele siseriiklikes rakendusaktides väga palju vabadust. Otsuses ei ole ka sätestatud artikli 29 töörühmaga sarnast mehhanismi ega nõuanderühma, mis toetaks otsuse ühtset tõlgendamist, samuti ei ole selles antud komisjonile rakendusvolitusi ühise tõlgendamise tagamiseks otsuse elluviimisel.

Euroopa Liidu toimimise lepingu artikli 16 lõikes 1 sätestatud põhimõtte kohaselt on igaühel õigus oma isikuandmete kaitsele. Euroopa Liidu toimimise lepingu artikli 16 lõike 2 näol luuakse Lissaboni lepinguga spetsiaalne õiguslik alus isikuandmete kaitse eeskirjade vastuvõtmisele, mis kehtib ka kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas. Euroopa Liidu põhiõiguste harta artiklis 8 on isikuandmete kaitse sätestatud ühe põhiõigusena. Euroopa Liidu toimimise lepingu artikli 16 kohaselt peab seadusandja kehtestama eeskirjad üksikisiku kaitse kohta seoses isikuandmete töötlemisega ka kriminaalasjades tehtava politsei- ja õigusalase koostöö puhul, kusjuures hõlmatud on nii piiriülene kui ka riigisisene isikuandmete töötlemine. See loob aluse füüsiliste isikute põhiõiguste ja -vabaduste kaitsele, eriti isikuandmete kaitsega seotud õigusele, tagades ühtlasi isikuandmete vahetamise kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise ning kriminaalkaristuste täitmisele pööramise eesmärgil. See aitab hõlbustada kuritegevuse vastast võitlust Euroopas.

Deklaratsioonis nr 21[8] tunnistati, et kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas võivad nende valdkondade erilise laadi tõttu osutuda vajalikuks Euroopa Liidu toimimise lepingu artikli 16 kohased erieeskirjad, mis käsitlevad isikuandmete kaitset ja selliste andmete vaba liikumist.

2. HUVITATUD ISIKUTEGA KONSULTEERIMISE JA MÕJU HINDAMISTE TULEMUSED

Algatus tuleneb laiaulatuslikust arutelust kõigi olulisemate sidusrühmadega, mis käsitles isikuandmete kaitse alase olemasoleva õigusraamistiku läbivaatamist. Avalik arutelu sisaldas kahte etappi:

– 9. juuli – 31. detsember 2009: arutelu isikuandmete kaitset kui põhiõigust käsitleva ELi õigusraamistiku teemal. Komisjonile laekus 168 vastust: 127 üksikisikutelt, äriorganisatsioonidelt ja -ühingutelt ning 12 riigiasutustelt. Mittekonfidentsiaalseid arvamusi saab vaadata komisjoni veebisaidilt[9].

– 4. november 2010 – 15. jaanuar 2011: arutelu komisjoni tervikliku lähenemisviisi kohta isikuandmete kaitsele Euroopa Liidus. Komisjonile laekus 305 vastust: 54 kodanikelt, 31 riigiasutustelt, 220 eraõiguslikelt organisatsioonidelt, eelkõige äriühingutelt ja valitsusvälistelt organisatsioonidelt. Mittekonfidentsiaalseid arvamusi saab vaadata komisjoni veebisaidilt[10].

Kui konsultatsioonidel keskenduti peamiselt direktiivi 95/46/EÜ läbivaatamisele, siis õiguskaitse sidusrühmadega toimusid ka sihipärased konsultatsioonid. Eelkõige toimus 29. juunil 2010 liikmesriikide pädevate asutuste osavõtul seminar, millel käsitleti isikuandmete kaitse eeskirjade kohaldamist riigiasutuste suhtes, sealhulgas kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas. Lisaks korraldas komisjon 2. veebruaril 2011 liikmesriikide pädevate asutuste osavõtul õpikoja, et arutada raamotsuse 2008/977/JSK rakendamist ning üldisemalt isikuandmete kaitse küsimusi kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

ELi kodanikega konsulteeriti 2010. aasta novembrist detsembrini toimunud Eurobaromeetri uuringu raames[11]. Korraldati ka mitu uuringut[12]. Artikli 29 töörühm[13] esitas komisjonile mitmeid seisukohti ja kasulikku teavet[14]. Euroopa andmekaitseinspektor esitas samuti põhjaliku arvamuse komisjoni 2010. aasta novembri teatises[15] tõstatatud küsimuste kohta.

Euroopa Parlament kiitis oma 6. juuli 2011. aasta resolutsiooniga heaks raporti, mis toetas komisjoni lähenemisviisi isikuandmete kaitse raamistiku reformile[16]. Euroopa Liidu Nõukogu võttis 24. veebruaril 2011 vastu järeldused, millega ta üldjoontes toetab komisjoni kavatsust reformida isikuandmete kaitse raamistik ning nõustub komisjoni lähenemisviisi mitme aspektiga. Euroopa Majandus- ja Sotsiaalkomitee toetas samuti komisjoni eesmärki tagada ELi isikuandmete kaitse eeskirjade järjepidevam kohaldamine kõigis liikmesriikides ning direktiivi 95/46/EÜ asjakohane läbivaatamine[17].

Komisjon viis kooskõlas parema õigusliku reguleerimise poliitikaga ellu poliitikavalikute mõju hindamise[18]. Mõjuhinnang põhines kolmel poliitikaeesmärgil: isikuandmete kaitse siseturumõõtme laiendamine, isikuandmete kaitsega seotud õiguse tõhusam kasutamine kodanike poolt ning kõikehõlmava ja ühtse raamistiku kujundamine liidu kõigis pädevusvaldkondades, sealhulgas kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas. Seoses viimase eesmärgiga hinnati kahte poliitilist valikuvõimalust: esimene valikuvõimalus nägi ette isikuandmete kaitse eeskirjade reguleerimisala laiendamist asjaomases valdkonnas ning raamotsuse puudujääkide ja muude probleemide parandamist, teine valikuvõimalus oli julgem ning nägi ette väga normatiivseid ja rangeid eeskirju, mis tooks kaasa ka kõigi endise kolmanda samba vahendite viivitamatu muutmise. Kolmandat, „minimalistlikku” valikuvõimalust, mis seisnes peamiselt tõlgendavate teatiste ja poliitikat toetavate meetmete, nagu rahastamisprogrammide ja tehniliste vahendite vastuvõtmises ning mille puhul oleks seadusandlik sekkumine olnud minimaalne, ei peetud asjaomases valdkonnas tuvastatud isikuandmete kaitse alaste probleemidega tegelemiseks asjakohaseks.

Talitustevahelise juhtrühma kaasabil hinnati iga poliitikavalikut komisjoni kehtestatud meetodi kohaselt, vaadeldes valiku tõhusust poliitikaeesmärkide täitmisel, majanduslikku mõju sidusrühmadele (sealhulgas ELi institutsioonide eelarvele), sotsiaalset mõju ja mõju põhiõigustele. Keskkonnamõju ei hinnatud.

Kogumõju analüüsi tulemusel kujundati välja eelistatud poliitiline valikuvõimalus ja kaasati see käesolevasse ettepanekusse. Hinnangu kohaselt toob selle valikuvõimaluse elluviimine asjaomases poliitikavaldkonnas kaasa isikuandmete kaitse edasise tugevdamise, eelkõige riigisisese andmetöötluse kaasamisega, mis omakorda suurendab pädevate asutuste õiguskindlust kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

9. septembril 2011 esitas mõju hindamise komitee mõjuhinnangu kavandi kohta arvamuse. Pärast seda tehti mõjuhinnangusse eelkõige järgmised muudatused:

– selgitati praeguse õigusraamistiku (millises ulatuses eesmärgid täideti ja millises mitte) ning kavandatud reformi eesmärke;

– probleemikäsitluse jaotisesse lisati tõendusmaterjali ja täiendavaid selgitusi/täpsustusi.

Ühtlasi koostas komisjon raamotsuse 2008/977/JSK artikli 29 lõike 2 kohase rakendusaruande, mis võetakse vastu käesoleva isikuandmete kaitse paketi osana[19]. Liikmesriikide kaasabil koostatud aruande tulemusi kasutati ka mõjuhinnangu koostamisel.

3. ETTEPANEKU ÕIGUSLIK KÜLG 3.1. Õiguslik alus

Ettepanek põhineb Euroopa Liidu toimimise lepingu artikli 16 lõikel 2, mis on Lissaboni lepinguga loodud uus õiguslik alus eeskirjade vastuvõtmiseks seoses üksikisikute kaitse tagamisega isikuandmete töötlemisel ELi institutsioonides, asutustes ja ametites ning liikmesriikide tegevuse puhul, mis kuulub liidu õiguse reguleerimisalasse, ning selliste andmete vaba liikumist käsitlevatel eeskirjadel.

Ettepaneku eesmärk on tagada asjaomases valdkonnas ühtlane ja kõrge isikuandmete kaitse tase, suurendades seeläbi eri liikmesriikide politsei- ja õigusasutuste vastastikust usaldust ning hõlbustades nende koostööd ja andmete vaba liikumist.

3.2. Subsidiaarsus ja proportsionaalsus

Subsidiaarsuse põhimõtte (Euroopa Liidu lepingu artikli 5 lõige 3) kohaselt võetakse Euroopa Liidu tasandil meetmeid ainult juhul, kui liikmesriigid ei saa piisavalt kavandatud eesmärke saavutada ning neid on ulatuse või kavandatud meetme mõju tõttu võimalik liidu tasandil paremini saavutada. Eespool kirjeldatud probleeme arvesse võttes märgitakse subsidiaarsuse analüüsis politsei- ja kriminaalõiguse valdkonnas vajadust ELi tasandi meetmete järele järgmistel põhjustel.

– Põhiõiguste harta artiklis 8 ning Euroopa Liidu toimimise lepingu artikli 16 lõikes 1 sätestatud õigus isikuandmete kaitsele nõuab kogu liidus sama tasandi isikuandmete kaitse tagamist. Vahetatavate ja riigisiseselt töödeldavate isikuandmete kaitse tase peab olema sama.

– Liikmesriikide õiguskaitseasutused peavad vahetama ja töötlema teavet järjest enam ja kiiremini, et tõkestada selle abil terrorismi ja rahvusvahelist kuritegevust ning nende vastu võidelda. Seepärast aitavad selged ja ühtlased ELi tasandi isikuandmete kaitse eeskirjad arendada nimetatud asutuste vahelist koostööd.

– Isikuandmete kaitset käsitlevate õigusaktide jõustamise valdkonnas esineb lisaks praktilisi probleeme ning liikmesriigid ja nende pädevad asutused peavad tegema koostööd – seda saab liidu õiguse ühtlase kohaldamise tagamiseks korraldada vaid ELi tasandil. Teatavates olukordades on ELil parimad võimalused tagada üksikisikutele nende isikuandmete edastamisel kolmandatele riikidele tõhus, ühtlane ja sama tasandi kaitse.

– Liikmesriigid üksi ei suuda praeguseid probleeme vähendada, eriti neid, mis tulenevad siseriiklike õigusaktide killustatusest. Seepärast on vaja kehtestada ühtlustatud ja sidus raamistik, mis võimaldab isikuandmete sujuvamat edastamist ELi riikide vahel ning tagada samas ELi kõigi elanike tõhus kaitse.

– Probleemide olemus ja ulatus muudab kavandatud ELi õigusmeetmed tõenäoliselt tõhusamaks kui samad meetmed liikmesriikides eraldi ja nimetatud probleemide lahendamisel ei saa piirduda ühe või mitme liikmesriigi tasandi tegevusega.

Proportsionaalsuse põhimõtte kohaselt peavad kõik meetmed olema sihipärased ega tohi minna kaugemale, kui on vaja püstitatud eesmärkide täitmiseks. Käesoleva ettepaneku ettevalmistamisel on nimetatud põhimõtet alates eri poliitiliste valikuvõimaluste kindlaksmääramise ja hindamise etapist kuni seadusandliku ettepaneku koostamiseni arvesse võetud.

Seepärast leitakse, et direktiiv on parim vahend ELi tasandil ühtluse saavutamiseks nimetatud valdkonnas. Samas jätab see liikmesriikidele selle põhimõtete ja eeskirjade ning siseriiklike erandite kohaldamisel piisavalt vabadust. Kuna praegused siseriiklikud eeskirjad, mis käsitlevad isikuandmete kaitset kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas, on keerukad ja eesmärk on viimaseid käesoleva direktiivi näol igakülgselt ühtlustada, peab komisjon paluma liikmesriikidel esitada selgitavaid dokumente direktiivi osade kokkulangevuse kohta siseriiklike ülevõtvate õigusaktide vastavate osadega, et oleks võimalik kontrollida direktiivi ülevõtmist.

3.3. Põhiõigustega seotud küsimuste kokkuvõte

Õigus isikuandmete kaitsele on sätestatud Euroopa Liidu põhiõiguste harta artiklis 8, Euroopa Liidu toimimise lepingu artiklis 16 ning ka Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklis 8. Nagu on rõhutanud Euroopa Liidu Kohus,[20] ei ole õigus isikuandmete kaitsele siiski absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas[21]. Isikuandmete kaitse on tihedalt seotud õigusega era- ja perekonnaelu austamisele, mis on sätestatud harta artiklis 7. See kajastub direktiivi 95/46/EÜ artikli 1 lõikes 1, milles on ette nähtud, et liikmesriigid kaitsevad isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele.

Potentsiaalselt on mõjutatud veel hartas sätestatud muud põhiõigused, nagu igasuguse diskrimineerimise keeld, sealhulgas diskrimineerimine rassi, etnilise päritolu, geneetiliste omaduste, usutunnistuse või veendumuste, poliitiliste või muude arvamuste, puuete või seksuaalse sättumuse tõttu (artikkel 21), lapse õigused (artikkel 24) ja õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele (artikkel 47).

3.4. Ettepaneku üksikasjalik selgitus 3.4.1. I PEATÜKK – ÜLDSÄTTED

Artiklis 1 määratakse kindlaks direktiivi reguleerimisese, s.t eeskirjad, mis käsitlevad isikuandmete töötlemist kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise ning kriminaalkaristuste täitmisele pööramise eesmärgil, samuti kehtestatakse direktiivi kahetine eesmärk, s.t kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele, kindlustades ühtlasi avaliku turvalisuse kõrge taseme, ning tagada isikuandmete vahetamine liidu pädevate asutuste vahel.

Artiklis 2 määratakse kindlaks direktiivi reguleerimisala. Reguleerimisala ei piirdu vaid piiriülese andmetöötlusega, vaid hõlmab direktiivi eesmärkide kohaselt igasugust andmete töötlemist „pädevate asutuste” poolt (nagu on sätestatud artikli 3 lõikes 14). Direktiivi ei kohaldata andmete töötlemise suhtes, mis toimub liidu õiguse reguleerimisalast välja jääva tegevuse raames, ega isikuandmete töötlemise suhtes ELi institutsioonides, asutustes ja ametites, mida reguleeritakse määrusega (EÜ) nr 45/2001 ja muude eriõigusaktidega.

Artikkel 3 sisaldab direktiivis kasutatud mõistete seletusi. Osa mõisteid on võetud üle direktiivist 95/46/EÜ ja raamotsusest 2008/977/JSK, osa muudetud või täiendatud lisaelementidega, osa täiesti uued. Uute mõistete seas võib välja tuua mõisted „isikuandmetega seotud rikkumine”, „geneetilised andmed”, „biomeetrilised andmed” ja „pädevad asutused” (põhinevad Euroopa Liidu toimimise lepingu artiklil 87 ja raamotsuse 2008/977/JSK artikli 2 punktil h) ning „laps” (põhineb ÜRO lapse õiguste konventsioonil)[22].

3.4.2. II PEATÜKK – PÕHIMÕTTED

Artiklis 4 on kehtestatud isikuandmete töötlemise põhimõtted, mis kajastavad direktiivi 95/46/EÜ artiklit 6 ning raamotsuse 2008/977/JSK artiklit 3, kuid mida on kohandatud vastavalt käesoleva direktiivi eripärale.

Artiklis 5 nõutakse võimaluste piires eri kategooriate isikuandmete eristamist andmesubjektidest. Tegemist on uue sättega, mida ei sisalda ei direktiiv 95/46/EÜ ega raamotsus 2008/977/JSK, kuid mille oli komisjon pakkunud välja oma algses ettepanekus raamotsuse vastuvõtmise kohta[23]. See on tiivustatud Euroopa Nõukogu soovitusest nr R (87) 15. Sarnased eeskirjad kehtivad juba Europoli[24] ja Eurojusti[25] puhul.

Artikkel 6, milles käsitletakse eri täpsuse ja usaldusväärsuse astmeid, kajastab Euroopa Nõukogu soovituse nr R (87)15 põhimõtet 3.2. Sarnased eeskirjad, mida komisjoni ettepanek raamotsuse vastuvõtmise kohta samuti sisaldab, kehtivad Europoli puhul[26].

Artiklis 7 on kehtestatud seadusliku isikuandmete töötlemise alused juhuks, kui see on tulenevalt siseriiklikust õigusest vajalik pädeva asutuse ülesannete täitmiseks, kui on vaja tagada kooskõla vastutava töötleja õigusaktidest tuleneva kohustusega või kui see on vajalik andmesubjekti või mõne muu isiku elutähtsate huvide kaitseks või liikmesriigi avalikku korda ähvardava tõsise ja vahetu ohu ärahoidmiseks. Muud direktiivi 95/46/EÜ artiklis 7 osutatud seadusliku isikuandmete töötlemise alused ei ole sobivad andmete töötlemise reguleerimiseks politsei- ja kohtuvaldkonnas.

Artiklis 8 kehtestatakse direktiivi 95/46/EÜ artikli 8 alusel üldine keeld töödelda teatavate kategooriate isikuandmeid, samuti erandid osutatud üldeeskirjast. Euroopa Inimõiguste Kohtu praktikat[27] arvesse võttes on lisatud geneetilised andmed.

Artiklis 9 on kooskõlas raamotsuse 2008/977/JSK artikliga 7 kehtestatud üksnes isikuandmete automaatsel töötlemisel põhinevate meetmete keeld, välja arvatud juhul, kui seda võimaldab õigusakt, millega ühtlasi kehtestatakse piisavad kaitsemeetmed.

3.4.3. III PEATÜKK – ANDMESUBJEKTI ÕIGUSED

Artiklis 10 kehtestatakse liikmesriikidele kohustus tagada hõlpsasti juurdepääsetav ja mõistetav teave, mis on eelkõige innustatud ülemaailmse isikuandmete kaitse ja eraelu puutumatuse standardit käsitleva Madridi resolutsiooni 10. põhimõttest,[28] ning kohustatakse vastutavaid töötlejaid nägema ette menetlused ja mehhanismid, millega muudetakse andmesubjektidele nende õiguste kasutamine lihtsamaks. See hõlmab nõuet, et nimetatud õigusi peab põhimõtteliselt saama kasutada tasuta.

Artiklis 11 on täpsustatud liikmesriikide kohustus tagada andmesubjekti teavitamine. Kohustus tuleneb direktiivi 95/46/EÜ artiklitest 10 ja 11, kuid käesolevas direktiivis ei käsitleta eraldi artiklites asjaolu, kas andmeid kogutakse andmesubjektilt või mitte, samuti on suurendatud esitatava teabe hulka. Ka on selles sätestatud erandid teavitamiskohustusest, kui need on proportsionaalsed ja pädevatele asutustele vajalikud oma ülesannete täitmiseks demokraatlikus ühiskonnas (direktiivi 95/46/EÜ artikli 13 ja raamotsuse 2008/977/JSK artikli 17 alusel).

Artikliga 12 kehtestatakse liikmesriikidele kohustus tagada andmesubjektile õigus oma isikuandmetega tutvuda. See tuleneb direktiivi 95/46/EÜ artikli 12 punktist a, kuid sisaldab täiendavaid kohustusi seoses andmesubjektide teavitamisega (andmete säilitamise aeg, andmesubjekti õigus andmeid parandada, kustutada või nende töötlemist piirata ning esitada kaebus).

Artiklis 13 on sätestatud, et liikmesriigid võivad võtta andmetega tutvumise õigust piiravaid seadusandlikke meetmeid, kui selline piirang on õigustatud andmete töötlemise spetsiifikaga politsei- ja kriminaalõiguse valdkonnas ning andmesubjekti on juurdepääsu piiramisest teavitatud. Artikkel tuleneb raamotsuse 2008/977/JSK artikli 17 lõigetest 2 ja 3.

Artikliga 14 kehtestatakse eeskiri, mille kohaselt tuleb andmetele vahetu juurdepääsu takistamise korral teavitada andmesubjekti võimalusest tutvuda oma isikuandmetega kaudselt järelevalveasutuse kaudu, kes teostab asjaomast õigust tema nimel ja on kohustatud teatama andmesubjektile kontrollimise tulemused.

Artikkel 15, milles käsitletakse andmete parandamise õigust, põhineb direktiivi 95/46/EÜ artikli 12 punktil b; keeldumise korral täidetavad kohustused aga raamotsuse 2008/977/JSK artikli 18 lõikel 1.

Artikkel 16, milles käsitletakse andmete kustutamise õigust, põhineb direktiivi 95/46/EÜ artikli 12 punktil b; keeldumise korral täidetavad kohustused aga raamotsuse 2008/977/JSK artikli 18 lõikel 1. Lisatud on ka õigus teatavatel juhtudel andmeid markeerida, millega asendatakse ebaselge termini „sulgemine”, mida kasutati direktiivi 95/46/EÜ artikli 12 punktis b ja raamotsuse 2008/977/JSK artikli 18 lõikes 1.

Artikkel 17, milles käsitletakse andmete parandamist, kustutamist või nende töötlemise piiramist kohtumenetlustes, on raamotsuse 2008/977/JSK artikli 4 lõike 4 alusel muudetud selgemaks.

3.4.4. IV PEATÜKK – VASTUTAV JA VOLITATUD TÖÖTLEJA 3.4.4.1. 1. JAOTIS. ÜLDISED KOHUSTUSED

Artiklis 18 kirjeldatakse vastutava töötleja vastutust käesoleva direktiivi nõuete täitmisel ning selle tagamisel, võttes sealhulgas nõuete täitmise tagamiseks vastu vastava poliitika ja mehhanismid.

Artikliga 19 kohustatakse liikmesriike tagama, et vastutav töötleja täidab kohustused, mis tulenevad kavandatud ja ette nähtud isikuandmete kaitse põhimõtetest.

Artiklis 20, milles käsitletakse kaasvastutavaid töötlejaid, on selgitatud nende staatust ja omavahelisi suhteid.

Artiklis 21 selgitatakse volitatud töötlejate ametikohta ja kohustusi, tuginedes osaliselt direktiivi 95/46/EÜ artikli 17 lõikele 2 ning lisades uusi elemente, sealhulgas selle kohta, et volitatud töötlejat, kes töötleb andmeid vastutava töötleja juhistest suuremal määral, tuleb pidada kaasvastutavaks töötlejaks.

Artikkel 22, milles käsitletakse töötlemist vastutava ja volitatud töötleja juhtimisel, põhineb direktiivi 95/46/EÜ artiklil 16.

Artiklis 23 kehtestatakse vastutavate töötlejate ja volitatud töötlejate kohustus säilitada dokumendid nende vastutusalasse jäävate töötlemissüsteemide ja töötlemise korra kohta.

Artiklis 24 käsitletakse dokumentide säilitamist kooskõlas raamotsuse 2008/977/JSK artikli 10 lõikega 1, kuid lisatud on täiendavaid selgitusi.

Artiklis 25 selgitatakse vastutava ja volitatud töötleja kohustusi seoses järelevalveasutusega koostöö tegemisega.

Artiklis 26 käsitletakse juhtumeid, kus järelevalveasutustega on vaja enne isikuandmete töötlemist konsulteerida (raamotsuse 2008/977/JSK artikli 23 alusel).

3.4.4.2. 2. JAOTIS. ANDMETURVE

Artikkel 27, milles käsitletakse andmete töötlemise turvalisust, põhineb direktiivi 95/46/EÜ artikli 17 lõikel 1 töötlemise turvalisuse kohta ning raamotsuse 2008/977/JSK artiklil 22, kuid selles sätestatud kohustused on laiendatud ka volitatud töötlejatele vastutava töötlejaga sõlmitud lepingust olenemata.

Artiklites 28 ja 29 on kehtestatud isikuandmete kaitsega seotud rikkumistest teavitamise kohustus, tuginedes eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi 2002/58/EÜ artikli 4 lõikele 3. Artiklis on täpsustatud ja eraldi kirjeldatud järelevalveasutuse teavitamise kohustusi (artikkel 28) ja kohustust teavitada nõuetekohastel juhtudel andmesubjekti (artikkel 29). Artikliga 29 nähakse ette ka erandid, viidates artikli 11 lõikele 4.

3.4.4.3. 3. JAOTIS. ANDMEKAITSEAMETNIK

Artiklis 30 kehtestatakse vastutava töötleja kohustus määrata ametisse andmekaitseametnik, kes täidab artiklis 32 loetletud ülesandeid. Kui mitu pädevat asutust allub keskasutuse järelevalvele ja viimane täidab vastutava töötleja funktsiooni, siis peab andmekaitseametniku nimetama vähemalt asjaomane keskasutus. Direktiivi 95/46/EÜ artikli 18 lõikes 2 nähakse liikmesriikidele ette võimalus kehtestada selline nõue asjaomase direktiivi üldise teavitamise nõude asendusmeetmena.

Artiklis 31 sätestatakse andmekaitseametniku ametiseisund.

Artiklis 32 sätestatakse andmekaitseametniku ülesanded.

3.4.5. V PEATÜKK – ISIKUANDMETE EDASTAMINE KOLMANDATELE RIIKIDELE VÕI RAHVUSVAHELISTELE ORGANISATSIOONIDELE

Artiklis 33 kehtestatakse üldpõhimõtted, mida tuleb täita andmete edastamisel kolmandatele riikidele või rahvusvahelistele organisatsioonidele kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas, sealhulgas andmete edasisaatmise puhul. Selles on selgitatud, et edastamine kolmandatele riikidele saab toimuda üksnes juhul, kui see on vajalik kuritegude tõkestamise, uurimise, avastamise ja kuritegude eest vastutusele võtmise või kriminaalkaristuse täitmisele pööramise eesmärgil.

Artiklis 34 on sätestatud, et edastamine kolmandatele riikidele on võimalik vaid juhul, kui komisjon on selle kohta teinud määruse .../.../201X kohase piisava kaitse otsuse, või konkreetselt kriminaalasjades tehtava politseikoostöö või õigusalase koostöö valdkonnas või sellise otsuse puudumise korral juhul, kui rakendatakse asjakohaseid kaitsemeetmeid. Kui piisava kaitse otsust ei ole tehtud, tagatakse direktiiviga, et edastamine võib toimuda asjakohaste kaitsemeetmete ja erandite alusel. Lisaks kehtestatakse selles kriteeriumid komisjonipoolseks piisava kaitsetaseme hindamiseks ning nimetatakse sõnaselgelt õigusriigi, õiguskaitse ja sõltumatu järelevalvega seotud kohustused. Artiklis nähakse ette ka võimalus, et komisjon võib hinnata kaitset, mille on taganud kolmanda riigi piirkond või andmetöötlussektor. Samuti sätestatakse selles, et kooskõlas isikuandmete kaitse üldmääruse artikliga 38 vastu võetud piisava kaitse alane üldotsus on käesoleva direktiivi raames kohaldatav. Kõrvalvõimalusena võib komisjon võtta vastu uue piisava kaitse otsuse, mida kohaldatakse üksnes käesoleva direktiivi eesmärkide saavutamiseks.

Artiklis 35 on kindlaks määratud andmete rahvusvaheliseks edastamiseks vajalikud kaitsemeetmed, juhul kui komisjon ei võta vastu eraldi piisava kaitse otsust. Kaitsemeetmeid võib kontrollida õiguslikult siduva vahendi, näiteks rahvusvahelise lepingu alusel. Teise võimalusena võib nende olemasolu kohta teha otsuse vastutav töötleja, võttes aluseks edastamise täpsed asjaolud.

Artiklis 36 nimetatakse andmeedastuse suhtes tehtavad erandid (direktiivi 95/46/EÜ artikkel 26 ja raamotsuse 2008/977/JSK artikkel 13).

Artikliga 37 kohustatakse liikmesriike tagama, et vastutav töötleja teatab isikuandmete vastuvõtjatele mis tahes isikuandmete töötlemise suhtes kehtestatud piirangutest ja võtab mõistlikke meetmeid kindlustamaks, et isikuandmete vastuvõtjad kolmandates riikides või rahvusvahelistes organisatsioonides järgivad neid piiranguid.

Artiklis 38 nähakse sõnaselgelt ette rahvusvahelised koostöömehhanismid, millega komisjon ja kolmandate riikide järelevalveasutused (eeskätt need, kelle kaitsetaset peetakse piisavaks) tagavad omavahelise koostöö tulemusel isikuandmete kaitse, võttes arvesse OECD 12. juuni 2007. aasta soovitust piiriülese koostöö kohta eraelu puutumatust käsitlevate õigusaktide täitmisel.

VI PEATÜKK – RIIKLIKUD JÄRELEVALVEASUTUSED

3.4.5.1. 1. JAOTIS. SÕLTUMATUS

Artikliga 39 kohustatakse liikmesriike asutama järelevalveasutusi (direktiivi 95/46/EÜ artikli 28 lõige 1 ja raamotsuse 2008/977/JSK artikkel 25) ning täiendatakse nimetatud asutuste ülesandeid eesmärgiga aidata tagada direktiivi ühtlane kohaldamine kogu liidus. Asutus võib olla isikuandmete kaitse üldmääruse alusel asutatud järelevalveasutus.

Artiklis 40 selgitatakse järelevalveasutuste sõltumatuse tingimusi, toetudes Euroopa Liidu Kohtu praktikale,[29] artikli alus on ka määruse (EÜ) nr 45/2001[30] artikkel 44.

Artiklis 41 on esitatud järelevalveasutuste liikmete määramise üldtingimused, toetudes vastavale kohtupraktikale,[31] artikli alus on ka määruse (EÜ) nr 45/2001 artikli 42 lõiked 2–6.

Artiklis 42 on esitatud järelevalveasutuse loomise eeskirjad, sealhulgas liikmete määramise tingimused, mille liikmesriigid peavad seadusega sätestama.

Artikkel 43, milles käsitletakse järelevalveasutuse liikmete ja töötajate ametisaladuse hoidmise kohustust, tugineb direktiivi 95/46/EÜ artikli 28 lõikele 7 ja raamotsuse 2008/977/JSK artikli 25 lõikele 4.

3.4.5.2. 2. JAOTIS. KOHUSTUSED JA VOLITUSED

Artiklis 44 on kehtestatud järelevalveasutuse pädevus (direktiivi 95/46/EÜ artikli 28 lõige 6 ja raamotsuse 2008/977/JSK artikli 25 lõige 1). Kohtud on oma õiguspädevuse raames tegutsedes järelevalveasutuse tehtavast järelevalvest välja arvatud, kuid nende suhtes kohaldatakse siiski isikuandmete kaitse sisulisi eeskirju.

Artikliga 45 kohustatakse liikmesriike tagama, et järelevalveasutus täidab talle pandud ülesandeid, sealhulgas kaebuste kuulamine ja uurimine ning üldsuse teadlikkuse suurendamine seoses ohtude, eeskirjade, kaitsemeetmete ja õigustega. Käesoleva direktiiviga on antud järelevalveasutustele veel ülesanne kasutada oma andmetega tutvumise õigust andmesubjektide nimel juhul, kui viimastele on juurdepääs keelatud või seda on piiratud, samuti kontrollida andmete töötlemise seaduslikkust.

Artiklis 46 sätestatakse järelevalveasutuse volitused (direktiivi 95/46/EÜ artikli 28 lõige 3 ja raamotsuse 2008/977/JSK artikli 25 lõiked 2 ja 3). Artikliga 47 kohustatakse järelevalveasutusi koostama iga-aastaseid tegevusaruandeid (direktiivi 95/46/EÜ artikli 28 lõige 5).

3.4.6. VII PEATÜKK – KOOSTÖÖ

Artiklis 48 sätestatakse vastastikuse kohustusliku abistamise eeskirjad, samas kui direktiivi 95/46/EÜ artikli 28 lõike 6 punktis 2 oli ette nähtud üksnes üldine koostöökohustus, üksikasjadesse laskumata.

Artiklis 49 sätestatakse, et isikuandmete kaitse üldmäärusega loodud Euroopa Andmekaitsenõukogu juhindub käesolevast direktiivist ka oma andmete töötlemisega seotud ülesannete täitmisel. Selleks et osutada täiendavat toetust, püüab komisjon küsida nõu nende liikmesriikide asutuste esindajatelt, kes on pädevad kuritegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise valdkonnas, samuti Europoli ja Eurojusti esindajatelt. Selleks loob ta eksperdirühma, kes käsitleb isikuandmete kaitse õiguskaitsega seotud aspekte.

3.4.7. VIII PEATÜKK – ÕIGUSKAITSEVAHENDID, VASTUTUS JA SANKTSIOONID

Artiklis 50 sätestatakse iga andmesubjekti õigus esitada järelevalveasutusele kaebus (direktiivi 95/46/EÜ artikli 28 lõige 4), samuti käsitletakse selles direktiivi mis tahes rikkumist kaebuse esitaja seisukohast. Seal määratakse samuti kindlaks asutused, organisatsioonid või ühendused, kes võivad andmesubjekti nimel ja isikuandmetega seotud rikkumise korral andmesubjekti kaebusest olenemata kaebuse esitada.

Artiklis 51 käsitletakse õigust võtta järelevalveasutuse suhtes õiguskaitsemeetmeid. See põhineb direktiivi 95/46/EÜ artikli 28 lõike 3 üldsättel ning täpsemalt sätestatakse andmesubjekti õigus pöörduda kohtusse, et sundida järelevalveasutust tema kaebust menetlema.

Artiklis 52 käsitletakse õigust võtta õiguskaitsemeetmeid vastutava või volitatud töötleja suhtes (direktiivi 95/46/EÜ artikkel 22 ning raamotsuse 2008/977/JSK artikkel 20).

Artiklis 53 kehtestatakse kohtumenetluste ühised eeskirjad, sealhulgas asutuste, organisatsioonide ja ühenduste õigus esindada andmesubjekte kohtus ja järelevalveasutuste õigus osaleda kohtumenetlustes. Liikmesriikide kohustus tagada kohtu kiire tegutsemine tuleneb elektroonilise kaubanduse direktiivi 2000/31/EÜ[32] artikli 18 lõikest 1.

Artikliga 54 kohustatakse liikmesriike tagama kompensatsiooni saamise õigus. Lähtutakse direktiivi 95/46/EÜ artiklist 23 ja raamotsuse 2008/977/JSK artikli 19 lõikest 1, laiendatakse nimetatud õigust volitatud töötlejate põhjustatud kahjudele ning täpsustatakse kaasvastutavate ja kaasvolitatud töötlejate vastutust.

Artikliga 55 kohustatakse liikmesriike kehtestama eeskirjad karistuste kohta, mida rakendatakse käesoleva direktiivi sätete rikkumise korral, ning tagama nende kohaldamine.

3.4.8. IX PEATÜKK – DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID

Artikkel 56 sisaldab standardsätteid delegeerimiseks kooskõlas Euroopa Liidu toimimise lepingu artikliga 290. See võimaldab seadusandjal delegeerida komisjonile õiguse võtta vastu muid kui seadusandlikke akte, mis on üldkohaldatavad ja täiendavad või muudavad seadusandliku akti (poolseadusandlike aktide) teatavaid mitteolemuslikke osi.

Artikkel 57 sisaldab sätet komiteemenetluse kasutamise kohta rakendusvolituste delegeerimisel komisjonile juhtudel, kui kooskõlas Euroopa Liidu toimimise lepingu artikliga 291 on liidu õiguslikult siduvate aktide rakendamiseks vaja ühetaolisi tingimusi. Kohaldatakse kontrollimenetlust.

3.4.9. X PEATÜKK – LÕPPSÄTTED

Artikliga 58 tunnistatakse kehtetuks raamotsus 2008/977/JSK.

Artiklis 59 sätestatakse, et liidu õigusaktides jäävad jõusse erisätted seoses isikuandmete töötlemisega pädevates asutustes kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise ning kriminaalkaristuste täitmisele pööramisega, millega reguleeritakse isikuandmete töötlemist või juurdepääsu infosüsteemidele direktiivi reguleerimisalasse jäävas valdkonnas, ning mis on võetud vastu enne käesoleva direktiivi vastuvõtmist.

Artiklis 60 selgitatakse direktiivi seost liikmesriikide varasemalt sõlmitud rahvusvaheliste lepingutega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

Artikliga 61 kohustatakse komisjoni hindama direktiivi rakendamist ja selle kohta aru andma, et saaks hinnata vajadust kooskõlastada artiklis 59 nimetatud varasemad erisätted käesoleva direktiiviga.

Artikliga 62 sätestatakse liikmesriikide kohustus võtta direktiiv üle oma siseriiklikusse õigusesse ning teavitada komisjoni käesoleva direktiivi alusel vastu võetud õigusaktidest.

Artiklis 63 on kehtestatud direktiivi jõustumise kuupäev.

Artiklis 64 on esitatud direktiivi adressaadid.

4.         MÕJU EELARVELE

Isikuandmete kaitse üldmääruse ettepanekuga kaasnevas finantsselgituses antakse ülevaade määruse ja käesoleva direktiivi mõjust eelarvele.

2012/0010 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV

üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 16 lõiget 2,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

olles konsulteerinud Euroopa Andmekaitseinspektoriga[33],

toimides seadusandliku tavamenetluse kohaselt

ning arvestades järgmist:

(1) Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

(2) Isikuandmete töötlemine on mõeldud teenima inimkonda ning üksikisikute kaitse põhimõtete ja eeskirjadega nende isikuandmete töötlemisel tuleks füüsiliste isikute rahvusest ja elukohast sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Isikuandmete töötlemine peaks kaasa aitama vabadusel, turvalisusel ja õigusel rajaneva ala arendamisele.

(3) Kiire tehnoloogiline areng ja üleilmastumine tekitavad isikuandmete kaitsel uusi probleeme. Andmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab pädevatel asutustel kasutada isikuandmeid oma eesmärkide saavutamiseks enneolematus ulatuses.

(4) See nõuab ELi pädevate asutuste vahelise andmete liikumise ning nende kolmandatele riikidele ja rahvusvahelisele organisatsioonile edastamise hõlbustamist, tagades isikuandmete kõrgetasemelise kaitse. Need muudatused nõuavad ELi isikuandmete kaitse raamistiku tugevdamist ja ühtlustamist ning selle täitmise parandamist.

(5) Isikuandmete töötlemise toimingute suhtes liikmesriikide avalikus ja erasektoris kohaldatakse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta[34]. Seda ei kohaldata isikuandmete töötlemise suhtes, kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks tegevused kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

(6) Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas töödeldavate isikuandmete suhtes kohaldatakse nõukogu 27. novembri 2008. aasta raamotsust 2008/977/JSK kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta[35]. Käesoleva raamotsuse reguleerimisala on piiratud liikmesriikide vahel edastatud ja kättesaadavaks tehtud isikuandmete töötlemisega.

(7) Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö tulemuslikkuse huvides on eriti oluline tagada üksikisikute isikuandmete kõrgetasemelise kaitse ja lihtsustada isikuandmete vahetamist liikmesriikide pädevate asutuste vahel. Selleks tuleb liikmesriikides ühtlustada üksikisikute õiguste ja vabaduste kaitse taset isikuandmete töötlemisel kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil. Tõhusaks isikuandmete kaitseks terves ELis tuleks tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel.

(8) Euroopa Liidu toimimise lepingu artikli 16 lõikega 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama eeskirju üksikisikute kaitse kohta seoses isikuandmete töötlemisega, samuti selliste andmete vaba liikumise eeskirju.

(9) Sellest lähtudes on Euroopa Parlamendi ja nõukogu määruses EL nr …/2012 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) sätestatud üldeeskirjad füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise soodustamiseks liidus.

(10) Lissaboni lepingu vastuvõtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava politsei- ja õigusalase koostöö laadi tõttu on arvatavasti vaja vastu võtta Euroopa Liidu toimimise lepingu artiklil 16 põhinevad erieeskirjad neis valdkondades töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta.

(11) Seetõttu tuleks vastu võtta nende valdkondade eripära arvestav direktiiv ning sätestada eeskirjad, mis käsitlevad üksikisikute kaitset seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil.

(12) Selleks et tagada terves liidus ühesugune üksikisikute kohtulikult kaitstavate õiguste kaitse tase ning saavutada, et erinevused ei takistaks isikuandmete vahetamist pädevate asutuste vahel, tuleks direktiivis sätestada ühtsed eeskirjad            kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö raames töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta.

(13) Käesoleva direktiivi põhimõtete kohaldamisel on võimalik arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet.

(14) Käesoleva direktiiviga pakutav kaitse peaks laienema füüsiliste isikute isikuandmete töötlemisele, olenemata asjaomase isiku kodakondsusest või elukohast.

(15) Üksikisikute kaitse peaks olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud vahenditest, vastasel juhul tekib märkimisväärne oht, et eeskirjade täitmisest hoitakse kõrvale. Üksikisikuid tuleks kaitsta isikuandmete automatiseeritud töötlemisel ning isikuandmete automatiseerimata töötlemisel, kui andmed sisalduvad toimikusüsteemis või kui nad hiljem kantakse toimikusüsteemi. Käesoleva direktiivi reguleerimisalasse ei peaks kuuluma toimikud, toimikute kogumid ega nende esilehed, mis ei ole teatavate kriteeriumide kohaselt korrastatud. Käesolevat direktiivi ei tuleks kohaldada, isikuandmete töötlemise suhtes muu kui liidu õiguse reguleerimisalasse kuuluva tegevuse käigus, eriti seoses riigi julgeoleku tagamisega, ega nende töötlemise suhtes liidu institutsioonides, organites ja asutustes nagu Europol ja Eurojust.

(16) Kaitsepõhimõtteid tuleks kohaldada igasuguse teabe suhtes, mis käsitleb tuvastatud või tuvastatavat füüsilist isikut. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib üksikisiku tuvastamiseks tõenäoliselt kasutada. Isikuandmete kaitse põhimõtteid ei tuleks kohaldada teabe suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada.

(17) Terviseandmete hulka kuuluvad eelkõige kõik andmesubjekti tervislikku seisundit käsitlevad andmed; teave üksikisiku registreerimise kohta temale tervishoiuteenuste osutamise eesmärgil; üksikisikuga seonduv teave tervishoiuteenuse eest tasumise või tema õiguse kohta saada tervishoiuteenuseid; number, tähis või eritunnus, mis on üksikisikule määratud tema tuvastamiseks tervishoiuga seotud eesmärkidel; mis tahes teave üksikisiku kohta, mida on kogutud temale tervishoiuteenuste osutamise käigus; teave, mida on saadud mingi kehaosa või kehast pärineva aine, sealhulgas bioloogiliste proovide kontrollimise või uurimise tulemusena; teave isikule tervishoiuteenuse osutaja kohta; ning igasugune teave näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi ja andmesubjekti tegeliku füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata selle allikast (näiteks arst või muu tervishoiutöötaja, haigla, meditsiiniseade või in vitro diagnostika).

(18) Isikuandmete töötlemine peab olema andmesubjektide suhtes õiglane ja seaduslik. Eelkõige peaks andmete töötlemisel olema selgelt sõnastatud konkreetsed eesmärgid.

(19) Kuritegude tõkestamiseks, uurimiseks ja nende eest vastutusele võtmiseks peavad pädevad asutused konkreetsete kuritegude tõkestamise, uurimise, avastamise või kuritegude eest vastutusele võtmise käigus kogutud isikuandmeid säilitama ja töötlema muuks otstarbeks, et oleks võimalik mõista kuritegevuse ilminguid ja suundumusi, koguda teavet organiseeritud kuritegelike võrgustike kohta ning erinevaid kuritegusid omavahel seostada.

(20) Isikuandmeid ei tohiks töödelda eesmärkidel, mis on vastuolus andmete kogumise eesmärkidega. Isikuandmed peaksid olema piisavad ja asjakohased ning mitte ületama selle otstarbe piire, mille tarvis neid töödeldakse. Selleks et tagada, et ebatäpsed andmed kustutatakse või parandatakse, tuleks võtta kõik mõistlikud meetmed.

(21) Võttes arvesse asjaomase töötlemise laadi ja eesmärki, tuleks kohaldada andmete täpsuse põhimõtet. Eelkõige kohtumenetluses antakse isikuandmeid sisaldavaid ütlusi, mis põhinevad isikute subjektiivsel ettekujutusel toimunust ning mida alati ei saa kontrollida. Seetõttu ei tohiks täpsuse nõue puudutada tunnistuse täpsust, vaid üksnes tõsiasja, et konkreetne tunnistus on antud.

(22) Tõlgendades ja kohaldades üldpõhimõtteid, millel põhineb üksikisikute kaitse isikuandmete töötlemisel pädevate asutuste poolt kuritegude tõkestamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele pööramiseks, tuleks arvesse võtta valdkonna eripära, sealhulgas taotletavaid eesmärke.

(23) Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö käigus töödeldakse väga erinevatesse kategooriatesse kuuluvate andmesubjektide isikuandmeid. Seetõttu tuleks võimalust mööda selgelt eristada selliste andesubjektikategooriate isikuandmeid nagu kahtlusalused, kuriteos süüdi mõistetud isikud ja kuriteo ohvrid ning kolmandad isikud, nagu tunnistajad ja asjakohast teavet omavad isikud ning kahtlusaluste ja süüdi mõistetud kurjategijate kontaktisikud ja kaasosalised.

(24) Võimaluse korral tuleks eristada isikuandmeid nende täpsuse ja usaldusväärsuse alusel. Et tagada üksikisikute kaitse ning pädevate asutuste töödeldava teabe kvaliteet ja usaldatavus, tuleks fakte eristada hinnangutest.

(25) Selleks et isikuandmete töötlemine oleks seaduslik, peab see olema vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks või toimuma pädeva asutuse seadusliku ja avalikes huvides oleva ülesande täitmiseks, andmesubjekti või teise isiku eluliste huvide kaitsmiseks või avalikku korda ähvardava tõsise ja vahetu ohu ennetamiseks.

(26) Erilist kaitset vajavad sellist laadi isikuandmed, mis on põhiõiguste ja eraelu puutumatuse seisukohast eriti tundlikud, nagu geneetilised andmed. Selliseid andmeid ei tohiks töödelda muidu, kui ainult juhul, kui töötlemine on sõnaselgelt lubatud seadusega, milles nähakse ette meetmed andmesubjekti õiguspäraste huvide kaitsmiseks, või kui töötlemine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks või kui töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud.

(27)             Füüsilisel isikul peaks olema õigus, et tema suhtes ei võeta üksnes automaattöötlusel põhinevat ja talle kahjulike õiguslike tagajärgedega meedet, välja arvatud juhul, kui seda võimaldab õigus ning ühtlasi on kehtestatud piisavad meetmed andmesubjekti õigustatud huvide kaitsmiseks.

(28) Selleks et andmesubjekt saaks oma õigusi kasutada, peaks temale esitatav teave olema lihtsalt kättesaadav, arusaadav ning selgelt ja arusaadavalt sõnastatud.

(29) Tuleks ette näha kord, millega lihtsustatakse käesoleva direktiivi alusel andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil saab tasuta taotleda eelkõige juurdepääsu andmetele ning õigust andmeid parandada ja kustutada. Vastutav töötleja peaks olema kohustatud andmesubjekti taotlustele vastama põhjendamatu viivituseta.

(30) Õiglase töötlemise põhimõtte kohaselt tuleks andmesubjekti teavitada eelkõige töötlemistoimingu tegemisest ja selle eesmärkidest, andmete säilitamise tähtajast, õigusest andmetega tutvuda ja neid muuta või kustutada ning õigusest esitada kaebus. Kui andmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud andmeid esitama, ja andmete esitamata jätmise tagajärgedest.

(31) Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle asjaoludest olenevalt kas kogumise ajal või kui andmeid ei saada andmesubjektilt, siis töötlemise konkreetseid asjaolusid arvestades andmete salvestamise ajal või mõistliku ajavahemiku jooksul pärast nende kogumist.

(32) Selleks et töötlemisest teada ja kontrollida selle seaduslikkust, peaks igaühel olema õigus tutvuda tema kohta kogutud andmetega ja õigus selle õiguse lihtsale kasutamisele. Seetõttu peaks igal andmesubjektil olema õigus teada eelkõige andmete töötlemise eesmärke, ajavahemikku ja andmete vastuvõtjaid, sealhulgas kolmandates riikides, ning saada eelneva kohta teavet. Andmesubjektil peaks olema võimalik saada koopia teda käsitlevatest töödeldavatest isikuandmetest.

(33)             Liikmesriigil tuleks asjaomase isiku õigustatud huvisid nõuetekohaselt arvestades lubada võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile teabe hilisem või piiratud esitamine või esitamata jätmine sellises ulatuses ja seni, kuni selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede             teenistuslike või õiguslike uurimiste, juurdluste või menetluste takistamise vältimiseks,      kuritegude ennetamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramisele kahjustamise vältimiseks ning riigi julgeoleku või andmesubjekti kaitseks või teiste isikute õiguste ja vabaduste kaitseks.

(34) Andmesubjekti teavitatakse kirjalikult juurdepääsu keelamisest või piiramisest ning sellise otsuse faktilistest ja õiguslikest põhjustest.

(35) Juhul kui liikmesriik on võtnud seadusandlikke meetmeid andmesubjekti juurdepääsuõiguse täielikuks või osaliseks piiramiseks, peaks andmesubjektil olema õigus taotleda riigi pädevalt järelevalveasutuselt töötlemise seaduslikkuse kontrollimist. Andmesubjekti tuleks sellest õigusest teavitada. Kui järelevalveasutus kasutab juurdepääsuõigust andmesubjekti nimel, peaks järelevalveasutus teatama andmesubjektile vähemalt seda, et ta on teostanud kogu vajaliku kontrolli, ning seda, millisele järeldusele ta jõudis kõnealuse töötlemise seaduslikkuse küsimuses.

(36) Igal isikul peaks olema õigus teda käsitlevate isikuandmete parandamisele ja kustutamisele, kui andmete töötlemine ei ole kooskõlas käesolevas direktiivis sätestatud peamiste põhimõtetega. Isikuandmete töötlemise suhtes kriminaalasja kohtueelses ja kohtulikus menetluses võib teabe ja juurdepääsu ning isikuandmete kustutamise ja nende töötlemise piiramise õigust teostada vastavalt kohtumenetlust käsitlevatele siseriiklikele õigusnormidele.

(37) Tuleks kehtestada vastutava töötleja laialdane vastutus temapoolse ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Vastutav töötleja peaks eelkõige tagama, et ta töötleb isikuandmeid vastavalt käesoleva direktiivi alusel vastuvõetud õigusnormidele.

(38)             Andmesubjektide õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab vajalike tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva direktiivi nõuete täitmine. Käesoleva direktiivi alusel kehtestatud õigusnormide täitmise tagamiseks peaks vastutav töötleja võtma vastu eeskirjad ja rakendama asjakohaseid meetmeid vastavalt eelkõige isikuandmete lõimitud ja vaikimisi kaitse põhimõtetele.

(39) Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutuse tagamiseks tuleb käesoleva direktiiviga selgelt kindlaks määrata vastutuse jaotus, sealhulgas juhtudel, kui isikuandmete töötlemise eesmärgid, tingimused ja vahendid määrab kindlaks vastutav töötleja koos teiste vastutavate töötlejatega ning kui töötlemistoimingut teostatakse vastutava töötleja nimel.

(40) Vastutav töötleja ja volitatud töötleja peaksid töötlemistoimingud dokumenteerima, et võimaldada jälgida käesoleva direktiivi täitmist. Vastutavad töötlejad ja volitatud töötlejad peaksid olema kohustatud tegema järelevalveasutusega koostööd ja tegema nimetatud dokumendid taotluse korral kättesaadavaks, et neid saaks kasutada nimetatud töötlemistoimingute kontrollimiseks.

(41) Selleks et ennetavate meetmetega tagada andmesubjekti õiguste kaitse, peaks vastutav töötleja või volitatud töötleja teatavatel juhtudel enne isikuandmete töötlemise algust konsulteerima järelevalveasutusega.

(42) Isikuandmetega seotud rikkumine, kui sellega piisavalt ja õigeaegselt ei tegeleta, võib asjaomasele üksikisikule põhjustada olulist majanduslikku ja sotsiaalset kahju ning rikkuda tema mainet. Seetõttu peaks vastutav töötleja teatama sellisest rikkumisest riigi pädevale asutusele niipea, kui ta sellest teada saab. Üksikisikut, kelle isikuandmeid või eraelu võib rikkumine kahjustada, tuleks põhjendamatu viivituseta teavitada, et ta saaks võtta tarvitusele vajalikke ettevaatusabinõusid. Andmesubjekti isikuandmeid ja eraelu puutumatust kahjustavaks rikkumiseks tuleks pidada sellist rikkumist, mille tulemuseks võib olla identiteedivargus või pettus, füüsiline kahju, märkimisväärne alandamine või maine kahjustamine seoses isikuandmete töötlemisega.

(43) Isikuandmetega seotud rikkumisest teatamise vormide ja korra kohta üksikasjalike eeskirjade koostamisel tuleks arvesse võtta rikkumise asjaolusid, sealhulgas seda, kas isikuandmed olid kaitstud asjakohaste tehniliste kaitsemeetmetega, et tõhusalt vähendada väärkasutuse tõenäosust. Lisaks tuleks sellistes eeskirjades ja sellises korras võtta arvesse pädevate asutuste õigustatud huvi juhtudel, kui varajane avalikustamine võib tarbetult takistada rikkumise asjaolude uurimist.

(44) Vastutav töötleja või volitatud töötleja peaks määrama isiku, kes abistab teda käesoleva direktiivi alusel kehtestatud õigusnormide täitmise kontrollimisel. Pädeva asutuse mitme üksuse jaoks võib määrata ühe andmekaitseametniku. Andmekaitseametnikel peab olema võimalik täita oma ülesandeid sõltumatult ja tulemuslikult.

(45) Liikmesriigid peaksid tagama, et isikuandmeid edastatakse kolmandale riigile ainult juhul, kui see on vajalik kuritegude tõkestamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks ning kui kolmanda riigi vastutav töötleja või rahvusvaheline organisatsioon on käesoleva direktiivi tähenduses pädev asutus. Isikuandmeid võib edastada, kui komisjon on teinud otsuse, et kolmas riik või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme, või kui on kehtestatud piisavad kaitsemeetmed.

(46) Komisjon võib teha terves ELis kohaldatava otsuse, et teatavad kolmandad riigid, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon pakub isikuandmete kaitset piisaval tasemel, tagades seega terves ELis õiguskindluse ja ühtsuse seoses kolmandate riikide ja rahvusvaheliste organisatsioonidega, mis tagavad isikuandmete kaitse piisava taseme. Sellisel juhul võib isikuandmeid kõnealustesse riikidesse edastada ilma täiendava loata.

(47) Kooskõlas põhiväärtustega, millele EL on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon arvesse võtma seda, kuidas asjaomane kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest.

(48) Komisjonil peaks olema võimalus tunnistada, et kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse tase ei ole piisav. Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile keelata, välja arvatud juhul, kui isikuandmeid edastatakse vastavalt rahvusvahelisele lepingule või piisavate kaitsemeetmete kehtestamisel või erandina. Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni vahelise konsulteerimise kord. Komisjoni sellist otsust kohaldatakse, ilma et see piiraks võimalust isikuandmeid edastada pärast asjakohaseid kaitsemeetmete võtmist või käesolevas direktiivis sätestatud erandina.

(49) Isikuandmete edastamine ilma piisava kaitse otsuseta peaks olema lubatud ainult juhul, kui õiguslikult siduvas dokumendis on sätestatud isikuandmete kaitseks asjakohased kaitsemeetmed või kui vastutav töötleja või volitatud töötleja, olles hinnanud kõiki andmete edastamisega seotud asjaolusid, leiab, et isikuandmete kaitseks vajalikud kaitsemeetmed on võetud. Juhtumite puhul, mil isikuandmete edastamiseks puudub alus, tuleks lubada teha erandeid, kui edastamine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks ja andmesubjekti õigustatud huvi kaitsmiseks vastavalt andmeid edastava liikmesriigi õigusele, kui andmete edastamine on vajalik liikmesriigi või kolmanda riigi avalikku korda ähvardava vahetu ja tõsise ohu vältimiseks või kui edastamine on vajalik konkreetsete kuritegude tõkestamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele pööramiseks ning konkreetsete õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

(50) Isikuandmete liikumine üle piiride võib raskendada üksikisikute võimalusi kasutada oma isikuandmete kaitse õigust, et kaitsta end andmete ebaseadusliku kasutamise ja avalikustamise eest. Järelevalveasutusel aga võib osutuda võimatuks käsitleda kaebusi ja teostada uurimist muus riigis tehtud tegude suhtes. Nende piiriülese koostöö püüdlusi võivad takistada ka tõkestamiseks ja kaitsemeetmete võtmiseks ebapiisavad volitused ning ebaühtlane õiguskord. Seepärast on vaja tihendada isikuandmete kaitse järelevalve asutuste koostööd, et nad saaksid vahetada teavet teiste riikide järelevalveasutustega.

(51) Liikmesriikides täiesti sõltumatult oma tööülesandeid täitvate järelevalveasutuste loomine on oluline, et kaitsta üksikisikuid seoses isikuandmete töötlemisega. Järelevalveasutused peaksid jälgima käesoleva direktiivi kohaldamist ja aitama kaasa selle ühtsele kohaldamisele terves ELis, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga.

(52) Liikmesriigid võiksid lubada määruse (EL) nr …/2012 kohaselt liikmesriikides juba loodud järelevalveasutustel täita käesoleva direktiivi kohaselt loodavate riiklike järelevalveasutuste ülesandeid.

(53) Liikmesriikidel peaks olema õigus luua mitu järelevalveasutust vastavalt nende põhiseaduslikule, organisatsioonilisele ja haldusstruktuurile. Igale järelevalveasutusele tuleks anda piisavad rahalised ja inimressursid, hooned ja infrastruktuur, mis on vajalikud nende ülesannete, sealhulgas terve ELi järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks.

(54) Järelevalveasutuse liikmetele esitatavad üldtingimused tuleks kehtestada igas liikmesriigis seadusega, milles on eelkõige ette nähtud, et liikmed nimetab ametisse kas liikmesriigi parlament või valitsus, ning sätestatud liikmete isikliku kvalifikatsiooni ja ametiseisundi nõuded.

(55) Kuigi käesolevat määrust kohaldatakse ka liikmesriikide kohtute tegevuse suhtes, ei tohiks järelevalveasutuste pädevus hõlmata isikuandmete töötlemist kohtutes, kes tegutsevad oma õigusliku pädevuse piires, et kaitsta kohtunike sõltumatust nende ülesannete täitmisel. Kõnealune erand peaks siiski piirduma õiguskaitseasutuste tegevusega kohtuasjades ega tohiks laieneda muule tegevusele, millega kohtunikud on seotud vastavalt siseriiklikele õigusaktidele.

(56) Selleks et tagada kogu liidus ühtlane järelevalve käesoleva direktiivi üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja volitused, sealhulgas uurimis-, õiguslikult siduva sekkumise, otsuste tegemise ja sanktsioonide kehtestamise volitused, eelkõige üksikisikute esitatud kaebuste puhul, ning volitused osaleda kohtumenetlustes.

(57) Järelevalveasutus peaks andmesubjekti esitatud kaebuse vastu võtma ja küsimust uurima. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemus peaks olema võimalik kohtulikult läbi vaadata. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile.

(58) Järelevalveasutused peaksid abistama üksteist ülesannete täitmisel ja andma vastastikust abi, et tagada käesoleva direktiivi alusel vastuvõetud õigusnormide järjekindel kohaldamine ja täitmine.

(59) Määrusega (EL) nr …/2012 asutatud Euroopa Andmekaitsenõukogu peaks aitama kaasa käesoleva direktiivi ühtsele kohaldamine terves ELis, sealhulgas nõustades komisjoni ja edendades järelevalveasutuste koostööd terves ELis.

(60) Igal andmesubjektil peaks olema õigus esitada kaebus ükskõik millise liikmesriigi järelevalveasutusele ja õigus õiguskaitsevahendile, kui ta on seisukohal, et tema käesolevast direktiivist tulenevaid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele ega võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks.

(61) Mis tahes asutusel, organisatsioonil ja ühingul, mille eesmärk on kaitsta andmesubjekti andmete kaitsega seonduvaid õigusi ja huve ja mis on loodud liikmesriigi õiguse kohaselt, peaks olema õigus esitada järelevalveasutusele kaebus või kasutada andmesubjekti nõuetekohase volituse alusel andmesubjekti nimel õigust õiguskaitsevahendile või esitada andmesubjekti kaebusest sõltumatult oma kaebus, kui ta leiab, et on toimunud isikuandmetega seotud rikkumine.

(62) Kui järelevalveasutus teeb otsuse füüsilise või juriidilisel isiku kohta, peaks isikul olema õigus õiguskaitsevahendile sellise otsuse suhtes. Hagi järelevalveasutuse vastu tuleks esitada selle liikmesriigi kohtutele, kus järelevalveasutus asub.

(63) Kohtumenetluste tulemuslikkuse tagamiseks peaksid liikmesriigid tagama, et käesoleva direktiivi rikkumise heastamise või ärahoidmise meetmeid saaks võtta kiiresti.

(64) Kahju, mida üksikisikule võib põhjustada ebaseaduslik töötlemine, peaks kompenseerima vastutav töötleja või volitatud töötleja, kes siiski võidakse sellest kohustusest vabastada, eelkõige kui ta tõestab, et kahju ei ole põhjustanud tema, vaid andmesubjekt ise või vääramatu jõud.

(65) Igale füüsilisele isikule ja eraõiguslikule või avalik-õiguslikule juriidilisele isikule, kes ei järgi käesolevat direktiivi, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja hoiatavad ning võtma kõik meetmed karistuste täitmisele pööramiseks.

(66) Selleks et täita käesoleva direktiivi eesmärke, täpsemalt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ning tagada ELis isikuandmete vaba vahetamine pädevate asutuste vahel, tuleks komisjonile anda Euroopa Liidu toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte. Delegeeritud õigusaktidega tuleks eelkõige reguleerida järelevalveasutuse teavitamist isikuandmetega seotud rikkumistest. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil. Komisjon peaks delegeeritud õigusaktide ettevalmistamise ja koostamise ajal tagama asjakohaste dokumentide sama- ja õigeaegse ning asjakohase edastamise Euroopa Parlamendile ja nõukogule.

(67) Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks komisjonile anda rakendusvolitused järgnevates valdkondades: vastutava töötleja ja volitatud töötleja poolne dokumenteerimine, töötlemise turvalisus ja eelkõige krüpteerimisstandardid, järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest ning kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisava taseme kindlakstegemine. Kõnealuseid volitusi tuleks kasutada vastavalt Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrusele (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes[36].

(68) Vastutava töötleja ja volitatud töötleja poolse dokumenteerimise, töötlemise turvalisuse, isikuandmetega seotud rikkumisest järelevalveasutusele teatamise, kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisava taseme alaste üldist laadi meetmete vastuvõtmiseks tuleks kasutada kontrollimenetlust.

(69) Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni ebapiisava isikuandmete kaitse tasemega, peaks komisjon olukorra tungiva kiireloomulisuse korral vastu võtma viivitamata kohaldatavad rakendusaktid.

(70) Kuna käesoleva direktiivi eesmärki, nimelt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ning tagada liidus isikuandmete vaba vahetamine pädevate asutuste vahel, ei suuda liikmesriigid üksi piisavalt saavutada ning selle ulatuse ja toime tõttu on eesmärki parem saavutada ELi tasandil, võib EL võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv kaugemale, kui on vajalik kõnesoleva eesmärgi saavutamiseks.

(71) Raamotsus 2008/977/JSK tuleks käesoleva direktiiviga tunnistada kehtetuks.

(72) Käesolev direktiiv ei tohiks mõjutada pädevate asutuste poolset isikuandmete töötlemist kuritegude tõkestamiseks, uurimiseks ja avastamiseks ning kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele pööramiseks käsitlevaid erisätteid, mis on ette nähtud enne käesoleva direktiivi jõustumise kuupäeva vastu võetud liidu õigusaktides, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute kohaselt loodud infosüsteemidele. Komisjon peaks hindama olukorda, mis tuleneb seosest käesoleva direktiivi ja enne käesoleva direktiivi jõustumise kuupäeva vastuvõetud liidu õigusaktide vahel, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute kohaselt loodud infosüsteemidele.

(73) Selleks et tagada isikuandmete igakülgne ja järjekindel kaitsmine terves liidus, tuleks kooskõlas käesoleva direktiiviga muuta rahvusvahelisi lepinguid, mille liikmesriigid on sõlminud enne käesoleva direktiivi jõustumist.

(74) Käesolev direktiiv ei piira laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastase võitluse eeskirju, mis on kehtestatud Euroopa Parlamendi ja nõukogu 13. detsembri 2011. aasta direktiiviga 2011/92/EL[37].

(75) Euroopa Liidu lepingule ja Euroopa Liidu toimimise lepingule lisatud protokolli (Ühendkuningriigi ja Iirimaa seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei kohaldata Ühendkuningriigi ega Iirimaa suhtes käesoleva direktiiviga kehtestatud eeskirju, kui Ühendkuningriigi ja Iirimaa suhtes ei kohaldata eeskirju, mis käsitlevad õigusalast koostööd kriminaalasjades või politseikoostööd, mille raames tuleb järgida Euroopa Liidu toimimise lepingu artikli 16 alusel kehtestatud sätteid.

(76) Euroopa Liidu lepingule ja Euroopa Liidu toimimise lepingule lisatud Taani seisukohta käsitleva protokolli artiklite 2 ja 2a kohaselt ei ole käesolev direktiiv Taani suhtes siduv ega kohaldatav. Arvestades, et käesolev direktiiv põhineb Euroopa Liidu toimimise lepingu kolmanda osa V jaotise alusel Schengeni acquis’l, otsustab Taani kõnealuse protokolli artikli 4 kohaselt kuue kuu jooksul pärast käesoleva direktiivi vastuvõtmist, kas ta rakendab seda oma siseriiklikus õiguses.

(77) Islandi ja Norra puhul kujutab käesolev direktiiv endast Schengeni acquis’ sätete edasiarendamist Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu (viimase kahe riigi osalemiseks Schengeni acquis’ sätete rakendamises, kohaldamises ja edasiarendamises)[38] tähenduses.

(78) Šveitsi puhul kujutab käesolev direktiiv endast Schengeni acquis’ sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega)[39] tähenduses.

(79) Liechtensteini puhul kujutab käesolev direktiiv endast Schengeni acquis’ sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahel allakirjutatud protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega)[40] tähenduses.

(80) Käesolevas direktiivis peetakse kinni aluslepingus sätestatud ja Euroopa Liidu põhiõiguste hartaga tunnustatud põhiõigustest ja põhimõtetest, eelkõige õigusest era- ja perekonnaelu ja isikuandmete kaitsele, tõhusale õiguskaitsevahendile ning õiglasele kohtulikule arutamisele. Nende õiguste suhtes kehtestatud piirangud on kooskõlas harta artikli 52 lõikega 1, olles vajalikud liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkide saavutamiseks ning teiste isikute õiguste ja vabaduste kaitsmiseks.

(81) Kooskõlas liikmesriikide ja komisjoni 28. septembri 2011. aasta ühise poliitilise avaldusega selgitavate dokumentide kohta kohustuvad liikmesriigid lisama põhjendatud juhtudel ülevõtmismeetmeid käsitlevale teatele ühe või mitu dokumenti, milles selgitatakse seost direktiivi komponentide ja ülevõtvate siseriiklike õigusaktide vastavate osade vahel. Käesoleva direktiivi puhul leiab seadusandja, et selliste dokumentide edastamine on põhjendatud.

(82) Käesolev direktiiv ei tohiks takistada liikmesriikidel rakendada kriminaalmenetlust käsitlevates siseriiklikes õigusnormides andmesubjektide õigust saada teavet, õigust andmetega tutvuda, kriminaalmenetluse käigus töödeldavaid isikuandmeid parandada ja kustutada ning nende töötlemist piirata ega kehtestada nende õiguste piiranguid,

ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI:

I PEATÜKK

ÜLDSÄTTED

Artikkel 1 Reguleerimisese ja eesmärgid

1.           Käesolevas direktiivis sätestatakse eeskirjad, mis käsitlevad üksikisikute kaitset isikuandmete töötlemisel pädevate asutuste poolt kuritegude tõkestamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele pööramiseks.

2.           Käesoleva direktiivi alusel liikmesriigid:

a)      kaitsevad füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele, ning

b)      tagavad, et pädevate ametiasutuste vahelist isikuandmete vahetamist liidus ei piirata ega keelata põhjustel, mis on seotud üksikisikute kaitsega isikuandmete töötlemisel.

Artikkel 2 Reguleerimisala

1.           Käesolevat direktiivi kohaldatakse pädevate ametiasutuste poolt isikuandmete töötlemisel artikli 1 lõikes 1 osutatud eesmärkidel.

2.           Direktiivi kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad toimikusüsteemi või kui need kavatsetakse toimikusüsteemi kanda.

3.           Käesolevat direktiivi ei kohaldata, kui:

a)      isikuandmeid töödeldakse muu kui liidu õiguse reguleerimisalasse kuuluva tegevuse käigus, eriti seoses riigi julgeoleku tagamisega;

b)      isikuandmeid töötlevad liidu institutsioonid, organid ja asutused.

Artikkel 3 Mõisted

Käesolevas direktiivis kasutatakse järgmisi mõisteid:

(1) „andmesubjekt” – füüsiline isik, kelle isikusamasus on tuvastatud või otseselt või kaudselt tuvastatav vahenditega, mida vastutav töötleja või mis tahes muu füüsiline või juriidiline isik tavaliselt kasutavad, nagu isikukood, asukohaandmed ja veebiidentifikaator, samuti üks või mitu isiku füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist ja sotsiaalset tunnust;

(2) „isikuandmed” – igasugune teave andmesubjekti kohta;

(3) „töötlemine” – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute teostamine, lugemine, kasutamine, üleandmine, levitamine ja muul moel kättesaadavaks tegemine, ühitamine või ühendamine, piiramine, kustutamine ja hävitamine;

(4) „töötlemise piiramine” – salvestatud isikuandmete markeerimine eesmärgiga piirata nende edaspidist töötlemist;

(5) „toimikusüsteem” – isikuandmete korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsel või geograafilisel põhimõttel hajutatud;

(6) „vastutav töötleja” – pädev avaliku sektori asutus, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid, tingimused ja vahendid; kui töötlemise eesmärgid, tingimused ja vahendid on kindlaks määratud liidu või liikmesriikide õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

(7) „volitatud töötleja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes töötleb isikuandmeid vastutava töötleja nimel;

(8) „vastuvõtja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kellele andmed avaldatakse;

(9) „isikuandmetega seotud rikkumine” – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise ja loata avalikustamise või neile juurdepääsu;

(10) „geneetilised andmed” – mis tahes liiki andmed isiku pärilike ja varajasel sünnieelsel arenguetapil kujunenud omaduste kohta;

(11) „biomeetrilised andmed” – andmed isiku tuvastamist võimaldavate füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, näiteks näokujutis ja sõrmejäljeandmed;

(12) „terviseandmed” – teave, mis käsitleb isiku füüsilist ja vaimset tervist ning isikule tervishoiuteenuse osutamist;

(13) „laps” – alla 18aastane isik;

(14) „pädev ametiasutus” – avaliku sektori asutus, kelle ülesanne on kuritegude tõkestamine, uurimine, avastamine, kuritegude eest vastutusele võtmine ja kriminaalkaristuste täitmisele pööramine.

(15) „järelevalveasutus” – liikmesriigis vastavalt artiklile 39 asutatud avaliku sektori asutus.

II PEATÜKK

PÕHIMÕTTED

Artikkel 4 Isikuandmete töötlemise põhimõtted

Liikmesriigid sätestavad, et:

a)      isikuandmeid töödeldakse õiglaselt ja seaduslikult;

b)      isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus;

c)      isikuandmed on piisavad ja asjakohased ega ületa selle otstarbe piire, mille tarvis neid töödeldakse;

d)      isikuandmed on täpsed ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohalt ebatäpsed isikuandmed kustutakse või parandatakse viivitamata;

e)      isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse;

f)       isikuandmeid töödeldakse vastutava töötleja kohustuste raames ja vastutusel ning vastutav töötleja tagab, et töötlemine vastab käesolevale direktiivile.

Artikkel 5 Andmesubjektide kategooriad

1.           Liikmesriigid sätestavad, et vastutav töötleja eristab isikuandmeid selgelt andmesubjektide kategooriate kaupa, nimelt:

a)      isikud, kelle puhul on piisavalt alust arvata, et nad on toime pannud või võivad toime panna kurteo;

b)      isikud, kes on kuriteos süüdi mõistetud;

c)      kuriteoohvrid ja isikud, kelle puhul annavad asjaolud alust arvata, et nad langenud kuriteo ohvriks;

d)      kuriteoga seotud kolmandad isikud, näiteks isikud, keda kuriteo uurimise või sellele järgneva kriminaalmenetluse käigus võidakse kutsuda tunnistusi andma, isikud, kellelt võib saada teavet kuriteo kohta, ning punktides a ja b osutatud isikute kontaktisikud ja nendega seotud isikud ning

e)      isikud, kes ei kuulu ühtegi eespool nimetatud kategooriasse.

Artikkel 6 Erineva täpsuse ja usaldusväärsusega isikuandmed

1.           Liikmesriigid tagavad, et võimalust mööda eristatakse töötlemisel eri liiki isikuandmeid nende täpsuse ja usaldusväärsuse alusel.

2.           Liikmesriigid tagavad, et võimalust mööda eristatakse faktidel põhinevaid isikuandmeid hinnangutel põhinevatest isikuandmetest.

Artikkel 7 Töötlemise seaduslikkus

Liikmesriigid sätestavad, et isikuandmete töötlemine on seaduslik ainult juhul ja niivõrd, kuivõrd see on vajalik:

(a) pädeva astutuse seadusjärgse, artikli 1 lõike 1 kohase ülesande täitmiseks või

(b) vastutava töötleja seadusjärgse kohustuse täitmiseks või

(c) andmesubjekti või teise isiku eluliste huvide kaitsmiseks või

(d) avalikku korda ähvardava tõsise ja vahetu ohu tõkestamiseks.

Artikkel 8 Isikuandmete eriliikide töötlemine

1.           Liikmesriigid keelavad töödelda selliseid isikuandmeid, mis paljastavad rassi või etnilise päritolu, poliitilised vaated, usu või uskumused, ametiühingusse kuulumise, samuti geneetiliste andmete ning tervislikku seisundit ja seksuaalelu käsitlevate andmete töötlemise.

2.           Lõiget 1 ei kohaldata, kui:

a)      töötlemine on lubatud õigusaktiga, milles on sätestatud piisavad kaitsemeetmed, või

b)      töötlemine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks või

c)      töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud.

Artikkel 9 Profiilianalüüsil ja automaattöötlusel põhinevad meetmed

1.           Liikmesriigid sätestavad, et keelatud on võtta meetmeid, millel on andmesubjektile kahjulikud õiguslikud tagajärjed või märkimisväärne mõju ning mille aluseks on ainult isikuandmete automaattöötlus, mille eesmärk on anda hinnang andmesubjekti teatavatele isikuomadustele, välja arvatud juhul, kui seda võimaldatakse õigusaktiga, millega ühtlasi kehtestatakse piisavad meetmed andmesubjekti õigustatud huvide kaitsmiseks.

2.           Isikuandmete automaattöötlus andmesubjekti isikuomaduste hindamiseks ei või põhineda ainult artiklis 8 osutatud isikuandmete eriliikidel.

III PEATÜKK

ANDMESUBJEKTI ÕIGUSED

Artikkel 10 Andmesubjekti õiguste kasutamise kord

1.           Liikmesriigid sätestavad, et vastutav töötleja teeb mõistlikke jõupingutusi isikuandmete töötlemise ja andmesubjektide õiguste kaitsmise läbipaistvate põhimõtete kehtestamiseks ja nende lihtsalt kättesaadavaks tegemiseks.

2.           Liikmesriigid sätestavad, et vastutav töötleja esitab andmesubjektile kogu teabe isikuandmete töötlemise ja sellega seotud teabevahetuse kohta, tehes seda arusaadavas vormis ning selges ja lihtsas keeles.

3.           Liikmesriigid sätestavad, et vastutav töötleja teeb mõistlikke jõupingutusi artiklis 11 osutatud teabe esitamise ning artiklites 12–17 nimetatud andmesubjekti õiguste kasutamise korra kehtestamiseks.

4.           Liikmesriigid sätestavad, et vastutav töötleja teavitab andmesubjekti viivitamata tema taotluse alusel tehtud toimingutest.

5.           Liikmesriigid sätestavad, et lõigetes 3 ja 4 osutatud taotluse alusel vastutava töötleja antud teabe ja tehtud toimingute eest tasu ei võeta. Kui taotlused on selgelt pahatahtlikud nende korduva esitamise või mahu tõttu, võib vastutav töötleja võtta taotletud teabe andmise ja toimingute tegemise eest tasu või jätta toimingud tegemata. Sel juhul lasub vastutaval töötlejal kohustus tõendada, et taotlus on pahatahtlik.

Artikkel 11 Andmesubjekti teavitamine

1.           Liikmesriigid tagavad, et vastutav töötleja võtab kõik kohased meetmed, et teha andmesubjektile seoses andmete kogumisega teatavaks vähemalt järgmine:

a)      vastutava töötleja ja andmekaitseametniku nimi ja kontaktandmed;

b)      isikuandmete töötlemise eesmärk,

c)      isikuandmete säilitamise tähtaeg;

d)      andmesubjekti õigus taotleda vastutavalt töötlejalt juurdepääsu oma isikuandmetele ning oma isikuandmete parandamist, kustutamist ja nende töötlemise piiramist;

e)      andmesubjekti õigus esitada kaebus artiklis 39 osutatud järelevalveasutusele ning järelevalveasutuse kontaktandmed;

f)       isikuandmete vastuvõtjad või vastuvõtjate kategooriad, sealhulgas kolmandad riigid ja rahvusvahelised organisatsioonid;

g)      muu teave määral, mis on vajalik andmesubjekti õigusi arvestava andmetöötluse tagamiseks, võttes arvesse isikuandmete töötlemise konkreetset olukorda.

2.           Juhul kui isikuandmed kogutakse andmesubjektilt, teatab vastutav töötleja talle lisaks lõikes 1 osutatud teabele, kas isikuandmete esitamine on kohustuslik või vabatahtlik, ning andmete esitamata jätmise võimalikud tagajärjed.

3.           Vastutav töötleja esitab lõikes 1 osutatud teabe:

a)      andmesubjektilt andmete saamise ajal või

b)      juhul kui isikuandmed ei ole kogutud andmesubjektilt, siis andmete salvestamise ajal või mõistliku aja jooksul pärast nende kogumist, võttes arvesse andmete töötlemise konkreetset olukorda.

4.           Liikmesriigid võivad asjaomase isiku õigustatud huvisid nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile teabe hilisem või piiratud esitamine või esitamata jätmine sellises ulatuses ja seni, kuni selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede:

(a) teenistuslike või õiguslike uurimiste, juurdluste või menetluste takistamise vältimiseks;

(b) kuritegude tõkestamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

(c) avaliku julgeoleku kaitseks;

(d) riigi julgeoleku kaitseks;

(e) teiste isikute õiguste ja vabaduste kaitseks.

5.           Liikmesriigid võivad kindlaks määrata isikuandmete töötlemise liigid, mille suhtes täielikult või osaliselt kehtivad lõikes 4 sätestatud erandid.

Artikkel 12 Andmesubjekti õigus tutvuda andmetega

1.           Liikmesriigid sätestavad, et andmesubjektil on õigus saada vastutavalt töötlejalt kinnitus selle kohta, kas tema isikuandmeid töödeldakse või mitte. Juhul kui andmesubjekti isikuandmeid töödeldakse, esitab vastutav töötleja talle järgmise teabe:

a)      töötlemise eesmärk,

b)      töödeldavate isikuandmete liigid;

c)      millistele või mis liiki vastuvõtjatele isikuandmeid on avalikustatud, eelkõige teave kolmandates riikides olevate vastuvõtjate kohta;

d)      isikuandmete säilitamise tähtaeg;

e)      andmesubjekti õigus taotleda vastutavalt töötlejalt oma isikuandmete parandamist, kustutamist ja nende töötlemise piiramist;

f)       andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

g)      teave töödeldavate isikuandmete kohta ja olemasoleva teave andmete allika kohta.

2.           Liikmesriigid sätestavad, et andmesubjektil on õigus saada vastutavalt töötlejalt töödeldavate isikuandmete koopia.

Artikkel 13 Andmetega tutvumise õiguse piirangud

1. Liikmesriigid võivad asjaomase isiku õigustatud huvisid nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjekti andmetega tutvumise õiguse täielik või osaline piiramine sellises ulatuses ja seni, kuni selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede:

(a) teenistuslike või õiguslike uurimiste, juurdluste või menetluste takistamise vältimiseks;

(b) kuritegude tõkestamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

(c) avaliku julgeoleku kaitseks;

(d) riigi julgeoleku kaitseks;

(e) teiste isikute õiguste ja vabaduste kaitseks.

2. Liikmesriigid võivad seadusega kindlaks määrata isikuandmete töötlemise liigid, mille suhtes täielikult või osaliselt kehtivad lõikes 1 sätestatud erandid.

3. Liikmesriigid sätestavad, et lõigetes 1 ja 2 osutatud juhtudel teavitab vastutav töötleja andmesubjekti kirjalikult juurdepääsu keelamisest või piiramisest ja keeldumise põhjustest ning selgitab talle võimalusi esitada järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid. Otsuse faktilised ja õiguslikud alused võidakse jätta teatamata, kui sellise teabe esitamine takistab artiklis 1 osutatud eesmärgi saavutamist.

4. Liikmesriigid tagavad, et vastutav töötleja dokumenteerib otsuse faktiliste ja õiguslike aluste teatamata jätmise põhjused.

Artikkel 14 Andmetega tutvumise õiguse kasutamise viis

1.           Liikmesriigid sätestavad, et andmesubjektil on õigus eelõige artiklis 13 osutatud juhtudel taotleda, et järelevalveasutus kontrolliks töötlemise seaduslikkust.

2.           Liikmesriigid sätestavad, et vastutav töötleja teavitab andmesubjekti tema õigusest taotleda järelevalveasutuse sekkumist vastavalt lõikele 1.

3.           Lõikes 1 osutatud õiguse kasutamisel teatab järelevalveasutus andmesubjektile vähemalt seda, et ta on teostanud kogu vajaliku kontrolli, ning millisele järeldusele ta jõudis kõnealuse töötlemise seaduslikkuse küsimuses.

Artikkel 15 Õigus andmeid parandada

1.           Liikmesriigid sätestavad, et andmesubjektil on õigus vastutavalt töötlejalt taotleda ebatäpsete isikuandmete parandamist. Andmesubjektil on õigus taotleda mittetäielike isikuandmete täiendamist, eelkõige parandusõiendi esitamise teel.

2.           Liikmesriigid sätestavad, et vastutav töötleja teavitab andmesubjekti kirjalikult juurdepääsu keelamisest või piiramisest ja keeldumise põhjustest ning selgitab talle võimalusi esitada järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid.

Artikkel 16 Õigus andmete kustutamisele

1. Liikmesriigid sätestavad, et andmesubjektil on õigus nõuda vastutavalt töötlejalt enda isikuandmete kustutamist, kui töötlemine ei vasta käesoleva direktiivi artikli 4 punktide a–e ning artiklite 7 ja 8 alusel vastuvõetud õigusnormidele.

2. Vastutav töötleja kustutab andmed viivitamata.

3. Vastutav töötleja markeerib isikuandmed nende kustutamise asemel, kui:

(a) andmesubjekt seab kahtluse alla nende täpsuse; täpsemalt piiratakse siis andmete töötlemine nii kauaks, kuni vastutav töötleja on kontrollinud nende täpsust;

(b) isikuandmeid tuleb säilitada tõendamiseks;

(c) andmesubjekt ei taotle nende kustutamist, vaid nende kasutamise piiramist.

4. Liikmesriigid sätestavad, et vastutav töötleja teavitab andmesubjekti kirjalikult andmete kustutamata jätmisest või nende markeerimisest töötlemise piiramiseks ja sellise keeldumise põhjustest ning selgitab talle võimalusi esitada järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid.

Artikkel 17 Andmesubjekti õigused kriminaalasja kohtueelses ja kohtulikus menetluses

Liikmesriigid võivad sätestada, et kohtuotsuses või kohtuotsuse tegemisega seotud dokumendis olevate isikuandmete puhul piiratakse artiklites 11–16 sätestatud õigust taotleda teavet ja juurdepääsu ning isikuandmete parandamist, kustutamist ja nende töötlemise piiramist vastavalt kriminaalasja kohtueelset ja kohtulikku menetlust käsitlevatele siseriiklikele õigusnormidele.

IV PEATÜKK VASTUTAV TÖÖTLEJA JA VOLITATUD TÖÖTLEJA

1. JAGU ÜLDKOHUSTUSED

Artikkel 18 Vastutava töötleja ülesanded

1.           Liikmesriigid sätestavad, et vastutav töötleja võtab vastu põhimõtted ja rakendab meetmeid, et tagada isikuandmete töötlemine kooskõlas käesoleva direktiivi alusel vastuvõetud õigusnormidega.

2.           Lõikes 1 sätestatud meetmete hulka kuuluvad eelkõige:

a)      dokumenteerimine vastavalt artiklile 23;

b)      artikli 26 kohase eelneva konsulteerimise nõude täitmine;

c)      artiklis 27 sätestatud andmeturbenõuete rakendamine;

d)      andmekaitseametniku määramine vastavalt artiklile 30.

3.           Vastutav töötleja rakendab mehhanismid käesoleva artikli lõikes 1 osutatud meetmete tulemuslikkuse kontrollimiseks. Kontrolli teostavad sõltumatud sise- või välisaudiitorid, kui see on proportsionaalne.

Artikkel 19 Isikuandmete lõimitud kaitse ja vaikimisi kaitse

1.           Liikmesriigid sätestavad, et vastutav töötleja, võttes arvesse tehnika arengut ja juurutamise kulusid, võtab töötlemisvahendite valikul ja töötlemise käigus selliseid tehnilisi ja organisatsioonilisi meetmeid ja kehtestab korra, millega tagatakse töötlemise vastavus käesoleva direktiivi nõuetele ja andmesubjekti õiguste kaitsmine.

2.           Vastutav töötleja rakendab mehhanismid, millega tagatakse, et vaikimisi töödeldakse ainult selliseid isikuandmeid, mille töötlemine on vajalik töötlemise eesmärgi saavutamiseks.

Artikkel 20 Kaasvastutavad töötlejad

Liikmesriigid sätestavad, et kui mitu vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise tingimused ja vahendid, on nad kaasvastutavad töötlejad, kes peavad omavaheliste kokkulepetega kehtestama igaühe vastutuse käesoleva direktiivi alusel kehtestatud kohustuste täitmisel, eelkõige andmesubjekti õiguste kasutamise korra ja mehhanismid.

Artikkel 21 Volitatud töötleja

1. Liikmesriigid sätestavad, et vastutav töötleja valib enda nimel andmete töötlemiseks sellise volitatud töötleja, kes võtab käesoleva direktiivi nõuete täitmiseks ja andmesubjekti õiguste kaitsmiseks vajalikke tehnilisi ja organisatsioonilisi meetmeid ning kehtestab korra, millega tagatakse töötlemise vastavus käesoleva direktiivi alusel kehtestatud sätetele ja andmesubjekti õiguste kaitsmine.

2. Liikmesriigid sätestavad, et vastutav töötleja töötleb isikuandmeid sellise volitatud töötlejat ja vastutavat töötlejat omavahel siduva õigusakti alusel, milles on eelkõige sätestatud, et volitatud töötleja tegutseb ainult vastavalt vastutava töötleja juhtnööridele, eelkõige juhul, kui isikuandmete edastamine on keelatud.

3. Kui volitatud töötleja töötleb isikuandmeid eesmärgil, mis ei vasta vastutava töötleja antud ülesandele, käsitatakse volitatud töötlejat sellise töötlemise suhtes vastutava töötlejana ja tema suhtes kohaldatakse artiklis 20 sätestatud kaasvastutuse eeskirju.

Artikkel 22 Töötlemine vastutava töötleja ja volitatud töötleja volituse alusel

Liikmesriigid sätestavad, et volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhistele alusel või liidu või liikmesriigi õigusaktidega ettenähtud juhtudel.

Artikkel 23 Dokumenteerimine

1.           Liikmesriigid sätestavad, et vastutava töötleja ja volitatud töötleja dokumenteerivad nende vastutusel olevad töötlemissüsteemid ja töötlemise korra.

2.           Dokumendid peavad sisaldama vähemalt järgmisi andmeid:

a)      vastutava töötleja ning vajaduse korral kaasvastutava töötleja või volitatud töötleja nimi ja kontaktandmed;

b)      töötlemise eesmärk,

c)      isikuandmete vastuvõtjad või vastuvõtjate liigid;

d)      teave andmete edastamise kohta kolmandatele riikidele ja rahvusvahelistele organisatsioonidele koos asjaomase riigi või rahvusvahelise organisatsiooni nimega.

3.           Vastutav töötleja ja volitatud töötleja esitavad dokumendid taotluse alusel järelevalveasutusele.

Artikkel 24 Dokumentide säilitamine

1.           Liikmesriigid tagavad, et säilitatakse vähemalt järgmisi töötlemistoiminguid käsitlevad dokumendid: kogumine, muutmine, lugemine, avalikustamine, ühendamine ja kustutamine. Lugemist ja avalikustamist kajastavad dokumendid peavad sisaldama andmeid nimetatud toimingute tegemise eesmärgi, kuupäeva ja aja ning võimaluse korral ka isikuandmeid lugenud ja avalikustanud isiku kohta.

2.           Dokumente kasutatakse ainult töötlemistoimingute õiguspärasuse kontrollimiseks, siseseireks ning andmete tervikluse ja turvalisuse tagamiseks.

Artikkel 25 Koostöö järelevalveasutustega

1.           Liikmesriigid sätestavad, et vastutav töötleja ja volitatud töötleja teevad asjakohase taotluse alusel järelevalveasutusega tema ülesannete täitmiseks koostööd, eelkõige esitades talle tema ülesannete täitmiseks vajalikku teavet.

2.           Kui järelevalveasutus täidab oma ülesandeid vastavalt artikli 46 punktidele a ja b, vastavad vastutav töötleja ja volitatud töötleja tema märkustele mõistliku tähtaja jooksul. Järelevalveasutuse märkustele esitatud vastuses kirjeldatakse võetud meetmeid ja saavutatud tulemusi.

Artikkel 26 Eelnev konsulteerimine järelevalveasutusega

1. Liikmesriigid tagavad, et vastutav töötleja ja volitatud töötleja konsulteerivad järelevalveasutusega enne, kui nad hakkavad töötlema isikuandmeid, mis kantakse uude loodavasse toimikusüsteemi, kui:

a)      töödeldakse artiklis 8 osutatud andmete eriliike;

b)      vastasel juhul toob töötlemise laad, eelkõige uute tehnoloogiate, mehhanismide või menetluste kasutamine endaga kaasa konkreetse ohu andmesubjekti põhiõigustele ja -vabadustele, eelkõige tema isikuandmete kaitsele.

2. Liikmesriigid võivad sätestada, et järelevalveasutus koostab ja avalikustab loetelu töötlemistoimingutest, mille suhtes kohaldatakse lõikes 1 sätestatud eelnevat konsulteerimist.

2. JAGU ANDMETURVE

Artikkel 27 Töötlemise turvalisus

1.           Liikmesriigid sätestavad, et vastutav töötleja ja volitatud töötleja võtavad vajalikke tehnilisi ja organisatsioonilisi meetmeid, et tagada töötlemisest ja kaitstavate andmete laadist tulenevatele ohtudele vastav turvalisus, võttes arvesse tehnika taset ja selliste meetmete rakendamise kulusid.

2.           Liikmesriigid sätestavad, et vastutav töötleja ja volitatud töötleja rakendavad riskianalüüsi alusel automatiseeritud andmetöötluse suhtes meetmeid, et

(a) keelata kõrvaliste isikute juurdepääs isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele (töövahenditele juurdepääsu kontroll);

(b) hoida ära andmekandjate lugemine, kopeerimine, muutmine või kõrvaldamine vastava loata isikute poolt (andmekandjate kontroll);

(c) hoida ära andmete sisestamine ja säilitatavate isikuandmetega tutvumine, nende muutmine või kustutamine ilma vastava loata (säilitamise kontroll);

(d) hoida ära automatiseeritud andmetöötlussüsteemi kasutamine andmesidevahendite abil isikute poolt, kellel puudub selleks luba (kasutajate kontroll);

(e) tagada, et automatiseeritud andmetöötlussüsteemi kasutamise loaga isikutel oleks juurdepääs ainult nendele andmetele, mida hõlmab nende juurdepääsuluba (juurdepääsukontroll);

(f) tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud, millistele võib neid edastada või kättesaadavaks teha (andmeedastuse kontroll);

(g) tagada võimalus hiljem tõendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kelle poolt need sisestati (sisestamise kontroll);

(h) hoida ära isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise ajal (transpordi kontroll);

(i) tagada, et paigaldatud süsteeme on võimalik katkestuse korral taastada (taastamine);

(j) tagada, et süsteem toimib, et selles ilmnevatest toimimisvigadest teatatakse (töökindlus) ja et süsteemirikked ei põhjustaks andmete moonutamist (terviklus).

3.           Komisjon võib vajaduse korral vastu võtta rakendusakte, millega täpsustatakse lõigetes 1 ja 2 sätestatud nõuete täitmist eri olukordades, eelkõige krüpteerimisstandardeid. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 57 lõikes 2 osutatud kontrollimenetlusele.

Artikkel 28 Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest

1.           Liikmesriigid sätestavad, et vastutav töötleja teavitab järelevalveasutust isikuandmetega seotud rikkumisest põhjendamatu viivitusteta ja võimaluse korral 24 tunni jooksul pärast rikkumise avastamist. Juhul kui teade esitatakse hiljem kui 24 tunni jooksul, esitab vastutav töötleja järelevalveasutusele taotluse korral selle kohta põhjenduse.

2.           Volitatud töötleja teavitab vastutavat töötlejat isikuandmetega seotud rikkumisest kohe pärast selle avastamist.

3.           Lõikes 1 osutatud teates tuleb vähemalt:

a)      kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada asjaomaste andmesubjektide kategooriad ja arv ning isikuandmete liigid ja arv;

b)      teatada artiklis 30 osutatud andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

c)      kirjeldada soovitatavaid meetmeid, mis võimaldavad leevendada isikuandmetega seotud rikkumise võimalikku negatiivset mõju;

d)      kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

e)      kirjeldada vastutava töötleja kavandatud või võetud meetmeid isikuandmetega seotud rikkumise lahendamiseks.

4.           Liikmesriigid sätestavad, et vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, nende mõju ja võetud parandusmeetmed. Dokumendid peavad võimaldama järelevalveasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist. Dokumentides esitatakse ainult nimetatud eesmärgi kohane teave.

5.           Komisjoni volitatakse vastavalt artiklile 56 võtma vastu delegeeritud õigusakte, et täpsustada lõigetes 1 ja 2 osutatud rikkumise tuvastamise kriteeriume ning olukordi, mille puhul vastutav töötleja ja volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama.

6.           Komisjon võib kehtestada järelevalveasutusele esitatava teate tüüpvormi ja esitamise korra ning lõikes 4 osutatud dokumentide vormi ja esitamise korra, sealhulgas tähtaja, mille möödumisel on lubatud neis esitatud teave kustutada. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 57 lõikes 2 osutatud kontrollimenetlusele.

Artikkel 29 Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

1.           Liikmesriigid sätestavad, et kui isikuandmetega seotud rikkumine võib kahjustada andmesubjekti isikuandmete ja tema eraelu kaitset, teavitab vastutav töötleja pärast artiklis 28 osutatud teavitamist sellest põhjendamatu viivituseta ka andmesubjekti.

2.           Andmesubjektile lõike 1 kohaselt esitatud teates kirjeldatakse isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 28 lõike 3 punktides b ja c nimetatud teave ja soovitused.

3.           Andmesubjekti ei pea teavitama isikuandmetega seotud rikkumisest, kui vastutav töötleja suudab järelevalveasutusele tõendada, et ta on rakendanud vajalikud tehnilised abinõud nende isikuandmete kaitsmiseks, mille suhtes rikkumine toime pandi. Sellised tehnoloogilised kaitsemeetmed muudavad andmed loetamatuks neile, kellel puuduvad andmetele juurdepääsu volitused.

4.           Artikli 11 lõikes 4 osutatud alustel võib andmesubjektile teabe esitada hiljem või piiratud ulatuses või jätta selle esitamata.

3. JAGU ANDMEKAITSEAMETNIK

Artikkel 30 Andmekaitseametniku määramine

1. Liikmesriigid sätestavad, et vastutav töötleja ja volitatud töötleja määravad ametisse andmekaitseametniku.

2. Andmekaitseametniku määramisel lähtutakse tema kutseoskustest, eelkõige isikuandmete kaitse alaste õigusaktide ja tava tundmisest ning suutlikkusest täita artiklis 32 osutatud ülesandeid.

3. Mitme üksuse jaoks võib määrata ühe andmekaitseametniku olenevalt pädeva asutuse või organi organisatsioonilisest struktuurist.

Artikkel 31 Andmekaitseametniku ametiseisund

1. Liikmesriigid sätestavad, et vastutav töötleja või volitatud töötleja tagab andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitse küsimustesse.

2. Vastutav töötleja või volitatud töötleja tagab, et andmekaitseametnikul on vahendid, mis võimaldavad tal täita artiklis 32 loetletud ülesandeid ja kohustusi sõltumatult ning et ta ei saa oma tööülesannete täitmisel juhtnööre.

Artikkel 32 Andmekaitseametniku ülesanded

Liikmesriigid sätestavad, et vastutav töötleja või volitatud töötleja annab andmekaitseametnikule vähemalt järgmised ülesanded:

(a) teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat seoses nende kohustustega, mis tulenevad käesoleva direktiivi alusel vastuvõetud õigusaktidest, ning oma tegevus ja saadud vastused dokumenteerida;

(b) jälgida isikuandmete kaitse põhimõtete rakendamist ja kohaldamist, sealhulgas ülesannete jaotamist, isikuandmete töötlemises osaleva personali koolitamist ja nendega seotud auditeerimist;

(c) jälgida käesoleva direktiivi alusel vastuvõetud õigusnormide rakendamist ja kohaldamist, eelkõige isikuandmete lõimitud ja vaikimisi kaitset, andmeturvet, andmesubjektide teavitamist ning käesoleva direktiivi alusel vastuvõetud normidest tulenevate õiguste kasutamiseks andmesubjektide poolt esitatavaid taotlusi käsitlevate normide rakendamist ja kohaldamist;

(d) tagada artiklis 23 osutatud dokumenteerimine;

(e) jälgida isikuandmetega seotud rikkumiste dokumenteerimist ning neist teavitamist vastavalt artiklitele 28 ja 29;

(f) jälgida vajaduse korral vastavalt artiklile 26 järelevalveasutusega toimuva eelneva konsulteerimise kohaldamist;

(g) jälgida järelevalveasutuse taotlustele vastamist ja oma pädevuse piires ka temaga koostöö tegemist vastavalt järelevalveasutuse taotlusele või omal algatusel;

h)      tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse kontaktisikuna ja vajaduse korral konsulteerida järelevalveasutusega andmekaitseametniku omal algatusel.

V PEATÜKK ISIKUANDMETE EDASTAMINE KOLMANDATELE RIIKIDELE JA RAHVUSVAHELISTELE ORGANISATSIOONIDELE

Artikkel 33 Isikuandmete edastamise üldpõhimõtted

Liikmesriigid sätestavad, et töödeldavate või pärast kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist töötlemiseks mõeldud isikuandmete edastamine, sealhulgas andmete vahendatud edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, võib toimuda ainult juhul,

a)      kui see on vajalik kuritegude tõkestamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks ning

b)      vastutav töötleja ja volitatud töötleja täidavad käesolevas peatükis sätestatud tingimused.

Artikkel 34 Edastamine piisava kaitse otsuse alusel

1.           Liikmesriigid sätestavad, et isikuandmeid võib edastada kolmandale riigile ja rahvusvahelisele organisatsioonile juhul, kui komisjon on kooskõlas määruse (EL) nr …/2012 artikliga 41 või käesoleva artikli lõikega 3 teinud otsuse, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja täiendavat luba.

2.           Määruse (EL) nr …/2012 artikli 41 kohase otsuse puudumise korral hindab komisjon isikuandmete kaitse piisavust, kaaludes järgmisi asjaolusid:

a)      õigusriigi põhimõte, nii üldised kui ka konkreetse sektori kehtivad asjaomased õigusaktid, sealhulgas avaliku julgeoleku, riigikaitse, riigi julgeoleku ja kriminaalõigusega seotud õigusaktid, kõnealuses riigis või rahvusvahelises organisatsioonis järgitavad turvameetmed ning samuti kehtivad ja kohtulikult kaitstavad õigused, sealhulgas andmesubjektide halduslikud ja õiguskaitsevahendid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse;

b)      kõnealuses kolmandas riigis või rahvusvahelises organisatsioonis ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine, kes vastutab isikuandmete kaitse eeskirjade järgimise ning andmesubjekti abistamise ja nõustamise eest tema õiguste teostamisel ning liidu ja liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

c)      kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused.

3.           Komisjon võib käesoleva direktiivi reguleerimisala piires otsustada, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme lõike 2 tähenduses. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 57 lõikes 2 osutatud kontrollimenetlusega.

4.           Rakendusaktis määratakse kindlaks selle geograafiline ja valdkondlik kohaldatavus ning vajaduse korral nimetatakse lõike 2 punktis b nimetatud järelevalveasutus.

5.           Komisjon võib käesoleva direktiivi reguleerimisala piires otsustada, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon ei taga piisavat isikuandmete kaitset lõike 2 tähenduses, eelkõige juhul, kui kolmandas riigis või rahvusvahelises organisatsioonis kehtivate üldiste ja konkreetse sektori asjaomaste õigusaktidega ei tagata kehtivaid ja kohtulikult kaitstavaid õigusi, sealhulgas andmesubjektide halduslikke ja õiguskaitsevahendeid, eelkõige nende andmesubjektide puhul, kelle isikuandmeid edastatakse. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 57 lõikes 2 osutatud kontrollimenetlusega või äärmiselt kiireloomulistel juhtudel seoses üksikisiku õigusega isikuandmete kaitsele kooskõlas artikli 57 lõikes 3 osutatud menetlusega.

6.           Liikmesriigid tagavad, et kui komisjon teeb lõike 5 kohase otsuse, siis keelatakse isikuandmete edastamine kolmandale riigile või territooriumile või kõnealuse kolmanda riigi töötlemissektorile või rahvusvahelisele organisatsioonile, ilma et see otsus piiraks artikli 35 lõike 1 kohast ja artiklile 36 vastavat edastamist. Komisjon alustab sobival ajal konsultatsioone kolmanda riigi või rahvusvahelise organisatsiooniga, et parandada käesoleva artikli lõike 5 kohasest otsusest tulenevat olukorda.

7.           Komisjon avaldab Euroopa Liidu Teatajas loetelu nendest kolmandatest riikidest, territooriumidest ja kolmandate riikide töötlemissektoritest ja rahvusvahelistest organisatsioonidest, mille kohta on tehtud otsus, et isikuandmete kaitse piisav tase ei ole tagatud.

8.           Komisjon jälgib lõigetes 3 ja 5 osutatud rakendusaktide kohaldamist.

Artikkel 35 Edastamine asjakohaste kaitsemeetmete abil

1.           Kui komisjon ei ole artikli 34 kohast otsust teinud, näevad liikmesriigid ette, et isikuandmeid võib edastada kolmandale riigile või rahvusvahelisele organisatsioonile, kui:

a)      isikuandmete kaitseks võetavad kaitsemeetmed on sätestatud õiguslikult siduvas dokumendis või

b)      vastutav töötleja või volitatud töötleja on hinnanud kõiki isikuandmete edastamisega seotud asjaolusid ning leidnud, et kehtestatud on kõik isikuandmete kaitse seisukohalt asjakohased kaitsemeetmed.

1.           Lõike 1 punkti b kohase otsuse peavad tegema nõuetekohaselt volitatud töötajad. Kogu üleandmine tuleb dokumenteerida ja dokumendid tuleb esitada taotluse alusel järelevalveasutusele.

Artikkel 36 Erandid

Erandina artiklitest 34 ja 35 sätestavad liikmesriigid, et kolmandale riigile või rahvusvahelisele organisatsioonile võib isikuandmeid edastada ainult tingimusel, et

a)       edastamine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks või

b)       edastamine on vajalik andmesubjekti õigustatud huvi kaitsmiseks vastavalt andmeid edastava liikmesriigi õigusele või

c)       edastamine on äärmiselt vajalik liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu vältimiseks või

d)       edastamine on vajalik konkreetsete kuritegude tõkestamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks või

e)       edastamine on vajalik konkreetsete kuritegude tõkestamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramisega seotud konkreetsete õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

Artikkel 37 Isikuandmete edastamise eritingimused

Liikmesriigid sätestavad, et vastutav töötleja teavitab isikuandmete vastuvõtjat töötlemise piirangutest ja teeb mõistlikke jõupingutusi nendest kinnipidamiseks.

Artikkel 38 Rahvusvaheline koostöö isikuandmete kaitseks

1.           Kolmandate riikide ja rahvusvaheliste organisatsioonidega tehtava koostöö valdkonnas võtavad komisjon ja liikmesriigid asjakohaseid meetmeid, et:

(a) töötada välja tõhusad rahvusvahelised koostöömehhanismid, et hõlbustada isikuandmete kaitset käsitlevate õigusaktide täitmise tagamist;

(b) osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamise, kaebuste suunamise, uurimistegevuse ja teabevahetuse abil, mille suhtes kohaldatakse asjaomaseid isikuandmete kaitsemeetmeid ja teisi põhiõigusi ning vabadusi;

(c) kaasata asjaomaseid sidusrühmi arutellu ja tegevusse, mis on suunatud rahvusvahelise koostöö edendamisele isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;

(d) edendada isikuandmete kaitset käsitlevate õigusaktide ja tava vahetamist ja dokumenteerimist.

2.           Lõike 1 kohaldamisel võtab komisjon asjakohaseid meetmeid, et arendada suhteid kolmandate riikide või rahvusvaheliste organisatsioonidega, eelkõige nende järelevalveasutustega, kui komisjon on teinud otsuse, et nad tagavad kaitse piisava taseme artikli 34 lõike 3 tähenduses.

VI PEATÜKK SÕLTUMATUD JÄRELEVALVEASUTUSED

1. JAGU SÕLTUMATUS

Artikkel 39 Järelevalveasutus

1. Iga liikmesriik näeb ette ühe või mitu avaliku sektori asutust, kes vastutavad käesoleva direktiivi alusel kehtestatud õigusaktide kohaldamise järelevalve eest ja osalevad selle järjepideval kohaldamisel kogu liidus, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ja hõlbustada isikuandmete vaba liikumist kogu liidus. Selleks teevad järelevalveasutused omavahel ja komisjoniga koostööd.

2. Liikmesriigid võivad sätestada, et määruse (EL) nr …/2012 kohaselt liikmesriikides loodud järelevalveasutus vastutab käesoleva artikli lõike 1 kohaselt loodava järelevalveasutuse ülesannete täitmise eest.

3. Kui liikmesriigis on rohkem kui üks järelevalveasutus, määrab liikmesriik ühe järelevalveasutuse kontaktasutuseks, et kõik asutused saaksid tulemuslikult osaleda Euroopa Andmekaitsenõukogus.

Artikkel 40 Sõltumatus

1.           Liikmesriigid tagavad, et järelevalveasutus tegutseb oma ülesannete täitmisel ja talle usaldatud volituste kasutamisel täiesti sõltumatult.

2.           Liikmesriigid sätestavad, et järelevalveasutuse liikmed ei küsi ega võta oma ülesannete täitmisel juhiseid mitte kelleltki.

3.           Järelevalveasutuse liikmed hoiduvad oma ülesannetega sobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul tasustataval või mittetasustataval ametikohal.

4.           Järelevalveasutuse liikmed käituvad pärast oma ametiaja lõppu ametikohti ja soodustusi vastu võttes väärikalt ning diskreetselt.

5.           Liikmesriigid tagavad, et järelevalveasutusel oleks piisavalt personali, tehnilisi ja rahalisi vahendeid ning ruumid ja taristu ülesannete, sealhulgas nende ülesannete, mis tuleb täita vastastikuse abi ja koostöö kontekstis ning Euroopa Andmekaitsenõukogu töös osalemisel, ja volituste tõhusaks täitmiseks.

6            Liikmesriigid tagavad, et järelevalveasutusel peab olema oma personal, kelle nimetab ametisse järelevalveasutuse juht, kellele personal allub.

7.           Liikmesriigid tagavad, et järelevalveasutuse üle teostatakse sellist finantskontrolli, mis ei mõjuta asutuse sõltumatust. Liikmesriigid tagavad, et järelevalveasutustel on eraldi aastaeelarve. Eelarved avalikustatakse.

Artikkel 41 Järelevalveasutuse liikmetele esitatavad üldtingimused

1.           Liikmesriigid näevad ette, et järelevalveasutuse liikmed nimetab ametisse kas asjaomase liikmesriigi parlament või valitsus.

2.           Liikmed valitakse isikute hulgast, kelle sõltumatus on väljaspool kahtlust ning kellel on ülesannete täitmiseks vajalik tõendatud kogemus ja oskused.

3.           Liige lõpetab oma ülesannete täitmise ametiaja lõppedes või ametist lahkumise või tagandamise korral kooskõlas artikliga 5.

4.           Liikmesriigi pädev kohus võib liikme ametist vabastada või jätta ilma õigusest saada pensioni või muid seda asendavaid soodustusi, kui liige ei vasta enam oma ülesannete täitmiseks nõutavatele tingimustele või kui ta on süüdi raskes üleastumises.

5.           Kui ametiaeg lõpeb või liige lahkub ametist, täidab ta ülesandeid edasi kuni uue liikme ametisse nimetamiseni.

Artikkel 42 Järelevalveasutuse loomise eeskirjad

Liikmesriigid näevad seadusega ette:

a)           järelevalveasutuse loomise ja staatuse artiklite 39 ja 40 kohaselt;

b)           järelevalveasutuse liikmete ülesannete täitmiseks vajaliku kvalifikatsiooni, kogemuse ja oskused;

c)           järelevalveasutuse liikme ametisse nimetamise eeskirjad ja korra ning ametiülesannetega sobimatuid tegusid ja ametikohti käsitlevad eeskirjad;

d)           järelevalveasutuse liikmete vähemalt nelja aasta pikkuse ametiaja, välja arvatud esimest korda ametisse nimetamisel pärast käesoleva direktiivi jõustumist, kui osa liikmete ametiaeg võib kesta lühemat aega;

e)           selle, kas järelevalveasutuse liikmeid saab ametisse uuesti tagasi nimetada;

f)            järelevalveasutuse liikmete ja personali ülesandeid reguleerivad eeskirjad ja üldtingimused;

g)           järelevalveasutuse liikmete ülesannete täitmise lõpetamise eeskirjad ja korra, sealhulgas juhul, kui liikmed ei vasta enam oma ülesannete täitmiseks nõutavatele tingimustele või kui nad on süüdi raskes üleastumises.

Artikkel 43 Ametisaladus

Liikmesriigid sätestavad, et järelevalveasutuse liikmed on kohustatud nii ametiajal kui ka pärast ametist lahkumist hoidma ametisaladust neile ametiülesannete täitmisel teatavaks saanud konfidentsiaalse teabe suhtes.

2. JAGU ÜLESANDED JA VOLITUSED

Artikkel 44 Pädevus

1.           Liikmesriigid sätestavad, et järelevalveasutus kasutab oma liikmesriigi territooriumil talle käesoleva direktiiviga antud volitusi.

2.           Liikmesriigid sätestavad, et järelevalveasutus ei ole pädev korraldama järelevalvet õigusliku pädevuse piires tegutsevate kohtute töötlemistegevuse üle.

Artikkel 45 Ülesanded

1.           Liikmesriigid sätestavad, et järelevalveasutus:

(a) jälgib ja tagab käesoleva direktiivi alusel vastuvõetud õigusnormide ja direktiivi rakendusmeetmete kohaldamist;

(b) vaatab läbi andmesubjekti või teda nõuetekohase volituse alusel esindava ühenduse artikli 50 kohaselt esitatud kaebuse, uurib juhtumit vajalikul määral ning teavitab mõistliku aja jooksul andmesubjekti või ühendust kaebuse arutamise arengust ja tulemusest, eelkõige juhul, kui osutub vajalikuks täiendav uurimine või koordineerimine teise järelevalveasutusega;

(c) kontrollib töötlemise seaduslikkust vastavalt artiklile 14 ning teavitab andmesubjekti mõistliku aja jooksul kontrollimise tulemusest või kontrolli teostamata jätmise põhjustest;

(d) osutab teistele järelevalveasutustele abi ning tagab käesoleva direktiivi alusel vastuvõetud normide ühetaolise kohaldamise ja täitmise;

(e) korraldab omal algatusel või kaebuse või teise järelevalveasutuse taotluse alusel uurimisi ning kui andmesubjekt on esitanud kaebuse, teavitab teda uurimise tulemusest mõistliku aja jooksul;

(f) jälgib isikuandmete kaitsmist mõjutavaid asjaomaseid arengusuundi, eelkõige info- ja kommunikatsioonitehnoloogia arengut;

(g) osaleb aruteludes liikmesriikide asutuste ja organitega õiguslike ja haldusmeetmete üle, mis käsitlevad üksikisikute õiguste ja vabaduste kaitset seoses isikuandmete töötlemisega;

(h) avaldab oma arvamuse töötlemistoimingute kohta artiklis 26 sätestatud konsulteerimise käigus;

(i) osaleb Euroopa Andmekaitsenõukogu tegevuses.

2.           Järelevalveasutus suurendab üldsuse teadlikkust isikuandmete töötlemisel esinevatest ohtudest, töötlemise eeskirjadest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Lastele suunatud tegevusele pööratakse eraldi tähelepanu.

3.           Järelevalveasutus annab andmesubjektile tema taotluse korral nõu käesolevast direktiivi alusel kehtestatud normidest tulenevate õiguste kasutamisel ja teeb vajaduse korral sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega.

4.           Lõike 1 punktis b osutatud kaebuste jaoks koostab järelevalveasutus elektrooniliselt täidetava kaebuste esitamise vormi, ilma et see välistaks muude sidevahendite kasutamise võimalust.

5.           Liikmesriigid sätestavad, et järelevalveasutus ei võta oma ülesannete täitmise eest andmesubjektilt tasu.

6.           Kui taotlused on selgelt pahatahtlikud, eelkõige kuna neid esitatakse korduvalt, võib vastutav töötleja võtta andmesubjekti taotletud teabe andmise ja toimingute tegemise eest tasu või jätta toimingud tegemata. Järelevalveasutusel lasub kohustus tõendada, et taotlus on pahatahtlik.

Artikkel 46 Volitused

Liikmesriigid sätestavad, et järelevalveasutusel on eelkõige

a)      uurimisvolitused, näiteks tutvuda töödeldavate andmetega ja koguda oma järelevalvekohustuse täitmiseks vajalikku teavet;

b)      sekkumisvolitused, näiteks avaldada arvamust enne töötlemise alustamist ja tagada selliste arvamuste asjakohane avalikustamine, anda korraldus piirangu kehtestamiseks ja andmete kustutamiseks või hävitamiseks, keelata töötlemine ajutiselt või alaliselt, hoiatada vastutavat töötlejat või teha talle märkus või suunata küsimus riigi parlamenti või teistesse poliitilistesse institutsioonidesse;

c)      volitus olla kohtus menetlusosaline, kui käesoleva direktiivi kohaselt vastu võetud õigusnorme on rikutud, või juhtida kõnealusele rikkumisele õigusasutuste tähelepanu.

Artikkel 47 Tegevusaruanne

Liikmesriigid sätestavad, et järelevalveasutus koostab oma tegevuse kohta aastaaruande. Aruanne tehakse kättesaadavaks komisjonile ja Euroopa Andmekaitsenõukogule.

VII PEATÜKK KOOSTÖÖ

Artikkel 48 Vastastikune abi

1.           Liikmesriigid sätestavad, et järelevalveasutused osutavad üksteisele vastastikust abi käesoleva direktiivi alusel kehtestatud õigusnormide järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks eelneva konsulteerimise taotlusi, kontrolle ja uurimist.

2.           Liikmesriigid sätestavad, et järelevalveasutus võtab kõik nõuetekohased meetmed, et viivitamata vastata teise järelevalveasutuse taotlusele.

3.           Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või vajaduse korral asjade käigust või meetmetest, mis võetakse taotluse esitanud järelevalveasutuse taotluse rahuldamiseks.

Artikkel 49 Euroopa Andmekaitsenõukogu ülesanded

1.           Määrusega (EL) nr …/2012 asutatud Euroopa Andmekaitsenõukogu täidab käesoleva direktiivi reguleerimisalasse kuuluva töötlemise valdkonnas järgmisi ülesandeid:

(a) annab komisjonile nõu liidus isikuandmete kaitse küsimustes, sealhulgas käesoleva direktiivi muutmise ettepanekute kohta;

(b) vaatab komisjoni taotlusel või omal või oma liikme algatusel läbi käesoleva direktiivi alusel vastu võetud õigusnormide kohaldamise küsimused ning esitab järelevalveasutustele suuniseid, soovitusi ja hea tava eeskirju nende normide ühetaoliseks kohaldamiseks;

(c) jälgib punktis b nimetatud suuniste, soovitusi ja hea tava juhiste rakendamist ning annab sellest komisjonile korrapäraselt aru;

(d) esitab komisjonile arvamuse kolmandate riikide ja rahvusvaheliste organisatsioonide isikuandmete kaitse taseme kohta;

(e) edendab järelevalveasutuste vahelist koostööd ning kahe- ja mitmepoolset teabe ja tavade vahetust;

(f) edendab ühtsete koolitusprogrammide kasutamist ja soodustab töötajate vahetust järelevalveasutuste vahel ning vajaduse korral ka kolmandate riikide ja rahvusvaheliste organisatsioonide järelevalveasutustega;

(g) edendab isikuandmete kaitse järelevalveasutustega kogu maailmas teadmiste ja dokumentide, sealhulgas isikuandmete kaitse alaste õigusaktide ja tavade vahetamist.

2.       Euroopa Andmekaitsenõukogu nõuande taotlemisel võib komisjon kiireloomulistel juhtudel määrata nõuande esitamise tähtaja.

3.           Euroopa Andmekaitsenõukogu esitab oma arvamused, suunised, soovitused ja hea tava komisjonile ja artikli 57 lõikes 1 osutatud komiteele ning avalikustab need.

4.           Komisjon teavitab Euroopa Andmekaitsenõukogu meetmetest, mida ta võtnud tema arvamuste, suuniste, soovituste ja hea tava alusel.

VIII PEATÜKK ÕIGUSKAITSEVAHENDID, VASTUTUS JA SANKTSIOONID

Artikkel 50 Õigus esitada järelevalveasutusele kaebus

1.           Ilma et see piiraks muude õiguskaitsevahendite kasutamist, näevad liikmesriigid ette, et andmesubjektil, kelle arvates tema isikuandmete töötlemine ei ole kooskõlas käesoleva direktiivi alusel kehtestatud õigusnormidega, on õigus esitada kaebus mis tahes liikmesriigi järelevalveasutusele.

2.           Liikmesriigid näevad ette, et liikmesriigi õiguses sätestatud nõuete kohaselt registreeritud asutus, organisatsioon ja ühing, mille eesmärk on kaitsta andmesubjektide õigusi ja huve nende isikuandmete kaitse valdkonnas, võib ühe või mitme andmesubjekti nimel esitada kaebuse mis tahes liikmesriigi järelevalveasutusele, kui ta leiab, et isikuandmete töötlemisel on rikutud andmesubjekti käesoleva direktiivi kohaseid õigusi. Organisatsioonil või ühingul peab olema andmesubjekti(de) nõuetekohane volitus.

3.           Liikmesriigid sätestavad, et juhul, kui lõikes 2 osutatud asutus, organisatsioon või ühing leiab, et toimunud on isikuandmetega seotud rikkumine, on tal õigus esitada kaebus mis tahes liikmesriigi järelevalveasutusele olenemata sellest, kas andmesubjekt esitab kaebuse või mitte.

Artikkel 51 Õigus õiguskaitsevahendi kasutamisele järelevalveasutuse suhtes

1. Liikmesriigid sätestavad, et andmesubjektil on õigus õiguskaitsevahendi kasutamisele järelevalveasutuse otsuste suhtes.

2. Igal andmesubjektil on õigus kasutada õiguskaitsevahendit, millega kohustatakse järelevalveasutust kaebuse alusel tegutsema andmesubjektide õiguste kaitsmiseks vajaliku otsuse puudumise korral või kui järelevalveasutus ei teavita andmesubjekti kolme kuu jooksul vastavalt artikli 45 lõike 1 punktile b esitatud kaebuse menetlemise käigust või tulemusest.

3. Liikmesriigid näevad ette, et menetlus järelevalveasutuse vastu algatatakse selle liikmesriigi kohtus, kus järelevalveasutus on asutatud.

Artikkel 52 Õigus õiguskaitsevahendile vastutava töötleja ja volitatud töötleja suhtes

Ilma et see piiraks ühegi halduskaitsevahendi kasutamist, sealhulgas õigust esitada kaebus järelevalveasutusele, näevad liikmesriigid ette, et füüsilisel isikul, kelle arvates tema isikuandmete töötlemine ei vasta käesoleva direktiivi alusel kehtestatud õigusnormidele ja seega on rikutud tema õigusi, mis tulenevad neist normidest, on õigus kasutada õiguskaitsevahendit.

Artikkel 53 Ühtsed kohtumenetluse eeskirjad

1.           Liikmesriigid näevad ette, et artikli 50 lõikes 2 osutatud asutustel, organisatsioonidel ja ühingutel on õigus kasutada artiklites 51 ja 52 osutatud õigusi ühe või mitme andmesubjekti nimel.

2.           Igal järelevalveasutusel on õigus algatada kohtumenetlus ja esitada kohtule hagi, et tagada käesoleva direktiivi alusel vastu võetud õigusnormide täitmine ja isikuandmete ühetaoline kaitse kogu liidus.

3.           Liikmesriigid tagavad, et nende siseriiklike õigusaktide kohaselt kasutada olevad õiguskaitsevahendid võimaldavad kiiresti võtta meetmeid, kaasa arvatud ajutisi meetmeid, et lõpetada iga väidetav rikkumine ja vältida asjaomaste huvide edasist kahjustamist.

Artikkel 54 Vastutus ja õigus hüvitisele

1.           Liikmesriigid sätestavad, et isikul, kellele on tekitatud kahju ebaseadusliku töötlemise või käesoleva direktiivi rakendamiseks võetud siseriiklike sätetega vastuolus oleva toimingu tagajärjel, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2.           Juhul kui töötlemises osaleb rohkem kui üks vastutav töötleja või volitatud töötleja, vastutavad kogukahju eest vastutavad töötlejad ja volitatud töötlejad solidaarselt.

3.           Vastutava töötleja või volitatud töötleja võib kõnealusest vastutusest tervikuna või osaliselt vabastada, kui ta tõestab, et tema ei ole vastutav kahju põhjustanud sündmuse eest.

Artikkel 55 Karistused

Liikmesriigid kehtestavad käesoleva direktiivi alusel vastuvõetud õigusnormide rikkumise eest karistuste kohaldamise korra ja võtavad kõik vajalikud meetmed selle täitmise tagamiseks. Kõnealused karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad.

IX PEATÜKK DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID

Artikkel 56 Delegeeritud volituste rakendamine

1.           Komisjonile antud õiguse suhtes võtta vastu delegeeritud õigusakte kohaldatakse käesolevas artiklis sätestatud tingimusi.

2.           Artikli 28 lõikes 5 osutatud volitused antakse komisjonile määramata ajaks alates käesoleva direktiivi jõustumise kuupäevast.

3.           Euroopa Parlament ja nõukogu võivad artikli 28 lõikes 5 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

4.           Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.

5.           Artikli 28 lõike 5 alusel vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kahe kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväiteid või kui Euroopa Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et nad ei esita vastuväiteid. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahe kuu võrra.

Artikkel 57 Komiteemenetlus

1. Komisjoni abistab komitee. Kõnealune komitee on komitee määruse (EL) nr 182/2011 tähenduses.

2. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

3. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 8 koostoimes selle artikliga 5.

X PEATÜKK LÕPPSÄTTED

Artikkel 58 Kehtetuks tunnistamine

1.           Nõukogu raamotsus 2008/977/JSK tunnistatakse kehtetuks.

2.           Viiteid lõikes 1 osutatud kehtetuks tunnistatud raamotsusele käsitatakse viidetena käesolevale direktiivile.

Artikkel 59 Seos liidu varem vastu võetud kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonna õigusaktidega

Käesolev direktiiv ei mõjuta erisätteid isikuandmete kaitse kohta isikuandmete sellisel töötlemisel, mida teostavad pädevad asutused kuritegude tõkestamiseks, uurimiseks ja avastamiseks, samuti kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele pööramiseks ning mis on ette nähtud enne käesoleva direktiivi jõustumise kuupäeva vastu võetud liidu õigusaktides, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute kohaselt käesoleva direktiivi reguleerimisalas loodud infosüsteemidele.

Artikkel 60 Seos varem sõlmitud rahvusvaheliste lepingutega kriminaalasjades tehtava politsei- ja õigusalase koostöö alal

Enne käesoleva direktiivi jõustumist liikmesriikide sõlmitud rahvusvahelisi lepinguid muudetakse vajaduse korral viie aasta jooksul pärast käesoleva direktiivi jõustumist.

Artikkel 61 Hindamine

1.           Komisjon hindab käesoleva direktiivi kohaldamist.

2.           Komisjon vaatab kolme aasta jooksul pärast käesoleva direktiivi jõustumist läbi muud Euroopa Liidu vastu võetud õigusaktid, millega reguleeritakse pädevate asutuste poolset isikuandmete töötlemist kuritegude tõkestamiseks, uurimiseks, avastamiseks ning kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele pööramiseks, eelkõige aga artiklis 59 osutatud liidu õigusaktid, et hinnata vajadust kohandada neid käesoleva direktiiviga ning vajaduse korral teha ettepanekud nende muutmiseks, et tagada järjepidev lähenemine isikuandmete kaitsele käesoleva direktiivi reguleerimisalas.

3.           Komisjon esitab lõikes 1 sätestatud hindamise ja läbivaatamise aruanded korrapäraselt Euroopa Parlamendile ja nõukogule. Esimesed aruanded esitatakse hiljemalt neli aastat pärast käesoleva direktiivi jõustumist. Järgmised aruanded esitatakse iga nelja aasta järel. Komisjon esitab vajaduse korral ettepanekud käesoleva direktiivi muutmiseks ja nende vastavusse viimiseks muude õigusaktidega. Kõnealune aruanne avalikustatakse.

Artikkel 62 Rakendamine

1.           Liikmesriigid võtavad vastu ja avaldavad käesoleva direktiivi järgimiseks vajalikud õigus- ja haldusnormid hiljemalt [kuupäev / kaks aastat pärast jõustumist]. Nad edastavad kõnealuste normide teksti viivitamata komisjonile.

Liikmesriigid kohaldavad neid sätteid alates xx.xx.201x [kuupäev / kaks aastat pärast käesoleva direktiivi jõustumist].

Kui liikmesriigid need normid vastu võtavad, lisavad nad nendesse normidesse või nende normide ametliku avaldamise korral nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad ette liikmesriigid.

2.           Liikmesriigid edastavad komisjonile käesoleva direktiiviga reguleeritavas valdkonnas nende poolt vastuvõetud põhiliste siseriiklike õigusnormide teksti.

Artikkel 63 Jõustumine ja kohaldamine

Käesolev direktiiv jõustub esimesel päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Artikkel 64 Adressaadid

Käesolev direktiiv on adresseeritud liikmesriikidele.

Brüssel, 25.1.2012

Euroopa Parlamendi nimel                           Nõukogu nimel

president                                                        eesistuja

[1]               Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ, 24. oktoober 1995, üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.95, lk 31).

[2]               Vt mõjuhinnangu 3. lisas esitatud täielik loetelu (SEC(2012)72).

[3]               Nõukogu raamotsus 2008/977/JSK, 27. november 2008, kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta, ELT L 350, 30.12.2008, lk 60.

[4]               Stockholmi programm (ELT C 115, 4.5.2010, lk 1).

[5]               Vt Euroopa Parlamendi 25. novembri 2009. aasta resolutsioon Stockholmi programmi kohta.

[6]               KOM(2010)171 (lõplik).

[7]               Euroopa Komisjoni teatis „Terviklik lähenemisviis isikuandmete kaitsele Euroopa Liidus”, KOM(2010) 609 (lõplik), 4.11.2010.

[8]               Deklaratsioon nr 21 isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas (lisatud Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi 13. detsembri 2007. aasta lõppaktile).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[11]             Vt Eurobaromeetri eriuuring 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Vt uuring eraelu puutumatust soodustavate tehnoloogiate majandusliku kasu kohta või 2010. aasta jaanuari võrdlusuuring eraelu puutumatuse uute probleemidega seotud erinevate lähenemisviiside kohta eelkõige tehnoloogia arengu seisukohast.  (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Töörühm asutati 1996. aastal (direktiivi artikli 29 alusel) ning see on nõuandev organ, kuhu kuuluvad liikmesriikide andmekaitseasutuste esindajad, Euroopa andmekaitseinspektor ja komisjoni esindajad. Rohkem teavet töörühma tegevuse kohta asub aadressil http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Eriti vt järgmised arvamused: arvamus eraelu puutumatuse tuleviku kohta (2009, WP 168), arvamus 1/2010 mõistete „vastutav töötleja” ja „volitatud töötleja” kohta (1/2010, WP 169), arvamus 2/2010 käitumispõhise internetireklaami kohta (2/2010, WP 171), arvamus 3/2010 vastutuse põhimõtte kohta (3/2010, WP 173), arvamus nr 8/2010 kohaldatava õiguse kohta (8/2010, WP 179) ja arvamus 15/2011 nõusoleku kohta (15/2011, WP 187). Komisjoni palvel võttis töörühm vastu ka kolm järgmist nõuandedokumenti: teatiste, tundliku teabe ja direktiivi 95/46/EÜ artikli 28 lõike 6 kohaldamise kohta. Need on kättesaadavad aadressil: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Kättesaadav Euroopa andmekaitseinspektori veebisaidil: http://www.edps.europa.eu/EDPSWEB/.

[16]             Euroopa Parlamendi 6. juuli 2011. aasta resolutsioon tervikliku lähenemisviisi kohta isikuandmete kaitsele Euroopa Liidus (2011/2025(INI)), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244, raportöör: Euroopa Parlamendi liige Axel Voss (Euroopa Rahvapartei (kristlike demokraatide) fraktsioon, Saksamaa).

[17]             CESE 999/2011.

[18]             SEC(2012)72.

[19]             COM(2012)12.

[20]             Euroopa Liidu Kohtu 9. novembri 2010. aasta otsus liidetud kohtuasjades C-92/09 ja 93/09: Volker und Markus Schecke ja Eifert, EKL 2010, lk I-0000.

[21]             Kooskõlas harta artikli 52 lõikega 1 võib isikuandmete kaitsega seotud õiguse rakendamist piirata ainult õigusaktidega ning arvestades nimetatud õiguste ja vabaduste olemust ning kui see on proportsionaalsuse põhimõtte kohaselt vajalik ning vastab tegelikult Euroopa Liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkidele või vajadusele kaitsta teiste isikute õigusi ja vabadusi.

[22]             Vt ka Euroopa Parlamendi ja nõukogu 13. detsembri 2011. aasta direktiiv 2011/92/EL (mis käsitleb laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastast võitlust ja mis asendab nõukogu raamotsuse 2004/68/JSK, ELT L 335, 17.12.2011, lk 1) artikli 2 punkt a.

[23]             KOM(2005) 475 (lõplik)

[24]             Euroopa Politseiameti (Europoli) asutamist käsitleva otsuse 2009/371/JSK artikkel 14.

[25]             Eurojusti moodustamist käsitleva otsuse 2009/426/JSK artikkel 15.

[26]             Euroopa Politseiameti (Europoli) asutamist käsitleva otsuse 2009/371/JSK artikkel 14.

[27]             Euroopa Inimõiguste Kohtu 4. detsembri 2008. aasta otsus kohtuasjas S. and Marper vs. Ühendkuningriik (30562/04 ja 30566/04).               

[28]             Vastu võetud isikuandmete kaitse ja eraelu puutumatuse valdkonna volinike rahvusvahelisel konverentsil 5. novembril 2009.

[29]             Euroopa Liidu Kohtu 9. märtsi 2010. aasta otsus kohtuasjas C-518/07: komisjon vs. Saksamaa, EKL 2010, lk I-1885).

[30]             Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 45/2001, 18. detsember 2000, üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta, EÜT L 008, 12.1.2001, lk 1).

[31]             Op. cit. joonealune märkus 27.

[32]             Euroopa Parlamendi ja nõukogu direktiiv 2000/31/EÜ, 8. juuni 2000, infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta), EÜT L 178, 17.7.2000, lk 1. 1.

[33]             ELT C […], […], lk […].

[34]             EÜT L 281, 23.11.1995, lk 31.

[35]             ELT L 350, 30.12.2008, lk 60.

[36]             ELT L 55, 28.2.2011, lk 13.

[37]             ELT L 335, 17.12.2011, lk 1.

[38]             EÜT L 176, 10.7.1999, lk 36.

[39]             ELT L 53, 27.2.2008, lk 52.

[40]             ELT L 160, 18.6.2011, lk 19.