4.5.2016   

ET

Euroopa Liidu Teataja

L 119/89

(1)

Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta („harta“) artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu (ELi toimimise leping) artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

(2)

Isikuandmete töötlemisele kohaldatavad füüsiliste isikute kaitse põhimõtted ja normid peaks füüsiliste isikute kodakondsusest ja elukohast sõltumata austama nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Käesoleva direktiivi eesmärk on aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala lõplikule väljakujundamisele.

(3)

Kiire tehnoloogiline areng ja üleilmastumine on toonud isikuandmete kaitsesse uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab selliste tegevuste puhul nagu süütegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine ning kriminaalkaristuste täitmisele pööramine töödelda isikuandmeid enneolematus ulatuses.

(4)

Süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil tuleks hõlbustada pädevate asutuste vahelist isikuandmete vaba liikumist liidus, nagu ka selliste isikuandmete edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, tagades samal ajal isikuandmete kõrgetasemelise kaitse. Selleks on vaja liidus luua tugev ja ühtsem isikuandmete kaitse raamistik, mida toetab tõhus täitmise tagamine.

(5)

Isikuandmete töötlemisele liikmesriikide avalikus ja erasektoris kohaldatakse Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ (3). Nimetatud direktiivi ei kohaldata siiski isikuandmete töötlemisele sellise tegevuse käigus, mis ei kuulu ühenduse õiguse kohaldamisalasse, nagu näiteks tegevus kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

(6)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas kohaldatakse nõukogu raamotsust 2008/977/JSK (4). Kõnealuse raamotsuse kohaldamisala on piiratud liikmesriikide vahel edastatud ja kättesaadavaks tehtud isikuandmete töötlemisega.

(7)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö tõhususe huvides on eriti oluline tagada füüsiliste isikute isikuandmete järjekindel kõrgetasemeline kaitse ja hõlbustada isikuandmete vahetamist liikmesriikide pädevate asutuste vahel. Selleks peaks kõikides liikmesriikides olema ühesugune füüsiliste isikute õiguste ja vabaduste kaitse tase isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada andmesubjektide õigusi ning isikuandmeid töötlevate isikute kohustusi, aga ka volitusi isikuandmete kaitse normide järgimise järelevalveks ja tagamiseks liikmesriikides.

(8)

ELi toimimise lepingu artikli 16 lõikes 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama õigusnorme füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega, samuti isikuandmete vaba liikumist käsitlevaid õigusnorme.

(9)

Sellest lähtudes sätestab Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 (5) üldised normid füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise tagamiseks liidus.

(10)

Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö eripära tõttu võib tekkida vajadus ELi toimimise lepingu artiklil 16 põhinevate erinormide järele seoses isikuandmete kaitse ja isikuandmete vaba liikumisega kõnealustes valdkondades.

(11)

Seetõttu on asjakohane reguleerida kõnealuseid valdkondi direktiiviga, mis sätestab erinormid, mis käsitlevad füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, võttes arvesse kõnealuste tegevuste eripära. Sellised pädevad asutused võivad olla mitte üksnes avaliku sektori asutused nagu õigusasutused, politsei ja teised õiguskaitseasutused, vaid ka kõik muud asutused või üksused, kes teostavad liikmesriigi õiguse kohaselt avalikku võimu käesoleva direktiivi kohaldamisel. Kui selline asutus või üksus töötleb isikuandmeid muul eesmärgil kui käesoleva direktiivi kohaldamine, kohaldatakse määrust (EL) 2016/679. Seepärast kohaldatakse määrust (EL) 2016/679 juhul, kui asutus või üksus kogub isikuandmeid muul eesmärgil ja täiendavalt töötleb kõnealuseid isikuandmeid oma juriidilise kohustuse täitmiseks. Näiteks finantsasutused säilitavad süütegude uurimiseks või avastamiseks või nende eest vastutusele võtmiseks teatavaid nende poolt töödeldavaid isikuandmeid ning nad teevad need isikuandmed kättesaadavaks ainult pädevatele riigiasutustele erijuhtudel ja kooskõlas liikmesriigi õigusega. Asutus või üksus, kes töötleb isikuandmeid nende asutuste nimel käesoleva direktiivi kohaldamisala piires, peaks olema seotud lepingu või õigusaktiga ning tema suhtes tuleks kohaldada käesolevast direktiivist tulenevaid vastutavate töötlejate suhtes kohaldatavaid sätteid, kusjuures ei mõjutata määruse (EL) 2016/679 kohaldamist vastutava töötleja poolt isikuandmete töötlemisele väljaspool käesoleva direktiivi kohaldamisala.

(12)

Politsei või muude õiguskaitseasutuste tegevus, sealhulgas politsei toimingud juhul, kui eelnevalt pole teada, kas tegemist on süüteoga, keskenduvad peamiselt süütegude tõkestamisele, uurimisele, avastamisele või nende eest vastutusele võtmisele. Selline tegevus võib hõlmata ka avaliku võimu teostamist sunnimeetmete võtmisega, näiteks politsei tegevus demonstratsioonidel, suurtel spordiüritustel ja massirahutustel. Selline tegevus hõlmab ka avaliku korra säilitamist, mis on politseile või muule õiguskaitseasutusele antud ülesanne, et vajaduse korral kaitsta avalikku julgeolekut ja seadusega kaitstavaid ühiskonna põhihuve selliste ohtude eest ja hoida ära selliste ohtude teke avalikule julgeolekule ja seadusega kaitstavatele ühiskonna põhihuvidele, mis võivad viia süüteo toimepanemiseni. Liikmesriigid võivad anda pädevatele asutustele muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, määruse (EL) 2016/679 kohaldamisalasse.

(13)

Süüteo mõiste käesoleva direktiivi tähenduses peaks olema liidu õiguse autonoomne mõiste, nagu seda on tõlgendanud Euroopa Liidu Kohus („Euroopa Kohus“).

(14)

Kuna käesolevat direktiivi ei tohiks kohaldada isikuandmete töötlemisele sellise tegevuse käigus, mis jääb liidu õiguse kohaldamisalast väljapoole, ei tohiks käesoleva direktiivi kohaldamisalasse kuuluva tegevusena käsitada riikliku julgeolekuga seotud tegevust, riikliku julgeoleku küsimustega tegelevate asutuste või üksuste tegevust ning isikuandmete töötlemist liikmesriikide poolt Euroopa Liidu lepingu (ELi leping) V jaotise 2. peatüki kohaldamisalasse kuuluva tegevuse käigus.

(15)

Selleks et tagada kogu liidus ühesugune füüsiliste isikute kohtulikult kaitstavate õiguste kaitse tase ning saavutada, et erinevused ei takistaks isikuandmete vahetamist pädevate asutuste vahel, tuleks käesolevas direktiivis sätestada ühtsed normid süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise, kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta. Liikmesriikide õigusaktide ühtlustamine ei tohiks viia isikuandmete kaitse taseme langemiseni, vaid sellega tuleks püüda tagada kõrgetasemeline kaitse kogu liidus. Liikmesriikidel ei tohiks keelata näha ette rangemaid kaitsemeetmeid kui need, mis on kehtestatud käesolevas direktiivis, andmesubjekti õiguste ja vabaduste kaitseks seoses isikuandmete töötlemisega pädevate asutuste poolt.

(16)

Käesolev direktiiv ei piira põhimõtte kohaldamist, mis käsitleb üldsuse juurdepääsu ametlikele dokumentidele. Määruse (EL) 2016/679 kohaselt võib avaliku sektori asutus või avaliku sektori organ või erasektori organ avalikes huvides oleva ülesande täitmiseks avaldada tema valduses olevates ametlikes dokumentides sisalduvaid isikuandmeid kooskõlas kõnealusele avaliku sektori asutusele või organile kohaldatava liidu või liikmesriigi õigusega, et ühitada üldsuse juurdepääs sellistele ametlikele dokumentidele ja õigus isikuandmete kaitsele.

(17)

Käesoleva direktiiviga pakutavat kaitset tuleks kohaldada füüsiliste isikute isikuandmete töötlemisele, olenemata nende kodakondsusest või elukohast.

(18)

Selleks et vältida normide täitmisest kõrvalehoidmise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest. Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva direktiivi kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole spetsiifiliste kriteeriumide kohaselt korrastatud, ega nende esilehed.

(19)

Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 45/2001 (6) kohaldatakse isikuandmete töötlemisele liidu institutsioonide, organite ja asutuste poolt. Määrust (EÜ) nr 45/2001 ja muid sellise isikuandmete töötlemise suhtes kohaldatavaid liidu õigusakte tuleks kohandada määrusega (EL) 2016/679 sätestatud põhimõtetele ja normidele.

(20)

Käesolev direktiiv ei takista liikmesriike täpsustamast nende kriminaalmenetlust käsitlevates õigusnormides kohtute ja muude õigusasutuste poolt isikuandmete töötlemise toiminguid ja menetlusi, eelkõige seoses kohtuotsustes sisalduvate isikuandmetega või kriminaalmenetluse toimikutega.

(21)

Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või muu isik võib füüsilise isiku otseseks või kaudseks tuvastamiseks tõenäoliselt kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks kasutatakse tõenäoliselt vahendeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse isikuandmete töötlemise ajal kättesaadavat tehnoloogiat ning tehnoloogia arengut. Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, s.o teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada.

(22)

Avaliku sektori asutusi, kellele avaldatakse isikuandmeid vastavalt juriidilisele kohustusele täita oma ametiülesandeid, näiteks maksu- ja tolliasutused, finantsuurimisüksused, sõltumatud haldusasutused või finantsturuasutused, kes vastutavad väärtpaberiturgude reguleerimise ja järelevalve eest, ei tohiks pidada vastuvõtjateks, kui nad saavad isikuandmeid, mida vajatakse üldistes huvides konkreetse päringu tegemiseks kooskõlas liidu või liikmesriigi õigusega. Avaliku sektori asutuste saadetavad andmete avaldamise taotlused peaksid olema alati kirjalikud, põhjendatud ja juhtumipõhised ning need ei tohiks puudutada kogu andmete kogumit või põhjustada andmete kogumite omavahelist ühendamist. Nimetatud avaliku sektori asutused peaksid isikuandmeid töötlema kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele.

(23)

Geneetilised andmed tuleks määratleda isikuandmetena, mis seonduvad füüsilise isiku päritud või omandatud geneetiliste omadustega ning mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia või tervise kohta ning mis saadakse asjaomase füüsilise isiku bioloogilise proovi analüüsist, iseäranis kromosoom-, desoksüribonukleiinhappe (DNA) või ribonukleiinhappe (RNA) analüüsist või muu elemendi analüüsist, mis võimaldab saada samaväärset teavet. Arvestades geneetiliste andmete keerukust ja tundlikkust, on suur oht, et vastutav töötleja väär- ja taaskasutab andmeid erinevatel eesmärkidel. Igasugune geneetilistel omadustel põhinev diskrimineerimine peaks olema põhimõtteliselt keelatud.

(24)

Tervisealaste isikuandmete hulka peaksid kuuluma kõik andmesubjekti terviseseisundit puudutavad andmed, mis annavad teavet andmesubjekti endise, praeguse või tulevase füüsilise või vaimse terviseseisundi kohta. See hõlmab teavet füüsilise isiku kohta, mis on kogutud füüsilise isiku tervishoiuteenuste registreerimise või talle tervishoiuteenuste osutamise käigus, nagu on osutatud Euroopa Parlamendi ja nõukogu direktiivis 2011/24/EL; (7) numbrit, tähist või eritunnust, mis on füüsilisele isikule määratud tema kordumatuks tuvastamiseks tervisega seotud eesmärkidel; teavet, mis on saadud mingi kehaosa või kehast pärineva aine, sealhulgas geneetiliste andmete ja bioloogiliste proovide kontrollimise või uurimise tulemusena; ja teavet näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi või andmesubjekti füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata sellest, millisest allikast see on saadud (näiteks arstilt või muult tervishoiutöötajalt, haiglalt, meditsiiniseadmest või in vitro diagnostikast).

(25)

Kõik liikmesriigid on Rahvusvahelise Kriminaalpolitsei Organisatsiooni (Interpol) liikmed. Oma ülesannete täitmiseks kogub, säilitab ja levitab Interpol isikuandmeid, mis aitavad pädevatel asutustel ennetada rahvusvahelist kuritegevust ning selle vastu võidelda. Seetõttu on asjakohane tugevdada liidu ja Interpoli vahelist koostööd, soodustades tõhusat isikuandmete vahetust, tagades samas põhiõiguste ja -vabaduste austamise isikuandmete automaatsel töötlemisel. Kui isikuandmeid edastatakse liidust Interpoli ja riikidele, kes on Interpoli koosseisu liikmeid delegeerinud, tuleks kohaldada käesolevat direktiivi, eelkõige andmete rahvusvahelist edastamist käsitlevaid sätteid. Käesolev direktiiv ei tohiks piirata erinorme, mis on kehtestatud nõukogu ühises seisukohas 2005/69/JSK (8) ja nõukogu otsuses 2007/533/JSK (9).

(26)

Isikuandmete töötlemine peaks olema asjaomaste füüsiliste isikute suhtes seaduslik, õiglane ja läbipaistev ning isikuandmeid tuleb töödelda ainult õigusaktis sätestatud konkreetsetel eesmärkidel. See ei takista õiguskaitseasutustel iseenesest selliste toimingute tegemist nagu varjatud jälitustoimingud või videovalve. Sellised toimingud on lubatud süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, kui need on õigusaktis ette nähtud ning kujutavad endast demokraatlikus ühiskonnas vajalikku ja proportsionaalset meedet ning nende puhul arvestatakse nõuetekohaselt asjaomase füüsilise isiku õigustatud huve. Andmekaitses kehtiv õiglase töötlemise põhimõte on määratletud harta artiklis 47 ja Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni („Euroopa inimõiguste konventsioon“) artiklis 6 õiglase kohtumenetluse õigusest eraldiseiseva põhimõttena. Füüsilisi isikuid tuleks teavitada nende isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad isikuandmete töötlemisega seoses oma õigusi kasutada. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata isikuandmete kogumise ajal. Isikuandmed peaksid olema töötlemise eesmärgi seisukohast piisavad ja asjakohased. Eelkõige tuleks tagada, et isikuandmeid ei koguta ülemääraselt ja neid ei säilitata kauem, kui nende töötlemise eesmärgil on vaja. Isikuandmeid tuleks töödelda üksnes juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. Selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või korrapäraseks läbivaatamiseks. Liikmesriigid peaksid kehtestama asjakohased kaitsemeetmed isikuandmetele, mida säilitatakse pikema aja jooksul avalikes huvides arhiveerimise eesmärgil või teaduslikuks, statistiliseks või ajalooliseks kasutamiseks.

(27)

Süütegude tõkestamiseks, uurimiseks ja nende eest vastutusele võtmiseks peavad pädevad asutused konkreetsete süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise käigus kogutud isikuandmeid töötlema muuks otstarbeks, et saada teadmisi kuritegevuse kohta ja erinevaid avastatud süütegusid omavahel seostada.

(28)

Selleks et tagada isikuandmete töötlemise turvalisus ja vältida, et isikuandmete töötlemisel rikutakse käesoleva direktiivi nõudeid, tuleks isikuandmeid töödelda viisil, mis tagab nende nõuetekohase turvalisuse ja konfidentsiaalsuse, sealhulgas väldib isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamist, ja võtab arvesse teaduse ja tehnoloogia viimast arengut, ohtudele vastavaid rakenduskulusid ja kaitstavate isikuandmete laadi.

(29)

Isikuandmeid tuleks koguda täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel kooskõlas käesoleva direktiivi kohaldamisalaga ning neid ei tohiks töödelda eesmärkidel, mis on vastuolus süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgiga. Kui isikuandmeid töötleb sama või erinev vastutav töötleja käesoleva direktiivi kohaldamisalasse kuuluval eesmärgil, mis on nende kogumise eesmärgist erinev, peaks selline töötlemine olema lubatud tingimusel, et selline töötlemine on asjaomaste õigusnormide kohaselt lubatud ning nimetatud teise eesmärgi saavutamiseks vajalik ja proportsionaalne.

(30)

Võttes arvesse asjaomase töötlemise laadi ja eesmärki, tuleks kohaldada andmete õigsuse põhimõtet. Eelkõige kohtumenetluses antakse isikuandmeid sisaldavaid ütlusi, mis põhinevad füüsiliste isikute subjektiivsel ettekujutusel toimunust ning mida ei saa alati kontrollida. Seetõttu ei tohiks õigsuse nõue puudutada tunnistuse õigsust, vaid üksnes tõsiasja, et konkreetne tunnistus on antud.

(31)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö käigus isikuandmete töötlemise puhul on olemuslik, et töödeldakse eri kategooriatesse kuuluvate andmesubjektide isikuandmeid. Seetõttu, kui see on asjakohane, tuleks sellises ulatuses nagu võimalik selgelt eristada selliste andesubjektide eri kategooriate isikuandmeid nagu kahtlusalused, süüteos süüdi mõistetud isikud, süüteo ohvrid ning muud isikud, nagu tunnistajad ja asjakohast teavet omavad isikud ning kahtlustatavate ja süüdimõistetute kontaktisikud ja kaasosalised. See ei tohiks takistada harta ja Euroopa inimõiguste konventsiooniga tagatud ning Euroopa Kohtu ja Euroopa Inimõiguste Kohtu praktika kohaselt tõlgendatava süütuse presumptsiooni õiguse kohaldamist.

(32)

Pädevad asutused peaksid tagama, et isikuandmeid, mis on ebaõiged, mittetäielikud või mis ei ole enam ajakohased, ei edastata ega tehta kättesaadavaks. Selleks et tagada füüsiliste isikute kaitse, edastatavate või kättesaadavaks tehtavate isikuandmete õigsus, täielikkus ja usaldusväärsus või ulatus, mil määral isikuandmed on ajakohased, peaksid pädevad asutused võimaluste piires lisama vajaliku teabe igasugusele isikuandmete edastamisele.

(33)

Kui käesolevas direktiivis osutatakse liikmesriigi õigusele, õiguslikule alusele või seadusandlikule meetmele, ei pea selleks tingimata olema parlamendi poolt vastu võetud seadusandlik akt, ilma et see piiraks asjaomase liikmesriigi põhiseaduslikust korrast tulenevate nõuete kohaldamist. Selline liikmesriigi õigus, õiguslik alus või seadusandlik meede peaks siiski olema selge ja täpne ning selle kohaldamine ettenähtav nendele, kelle suhtes seda kohaldatakse, nagu seda nõuab Euroopa Kohtu ja Euroopa Inimõiguste Kohtu praktika. Käesoleva direktiivi kohaldamisalasse kuuluvat isikuandmete töötlemist reguleerivas liikmesriigi õiguses tuleks kindlaks määrata vähemalt isikuandmete töötlemise üldeesmärgid, töödeldavad isikuandmed, töötlemise konkreetsed eesmärgid ning isikuandmete tervikluse ja konfidentsiaalsuse tagamise menetlused ja isikuandmete hävitamist käsitlevad menetlused, mis annaksid piisava tagatise ohu vastu, et isikuandmeid võidakse kuritarvitada või meelevaldselt kasutada.

(34)

Isikuandmete töötlemine pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil peaks hõlmama isikuandmete või nende kogumitega sellistel eesmärkidel tehtavat automatiseeritud või automatiseerimata toimingut või toimingute kogumit, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, ühitamine ja ühendamine, nende töötlemise piiramine, kustutamine ja hävitamine. Eelkõige tuleks käesoleva direktiivi norme kohaldada isikuandmete käesoleva direktiivi kohasele edastamisele sellisele vastuvõtjale, kelle suhtes ei kohaldata käesolevat direktiivi. Selline vastuvõtja peaks hõlmama füüsilist või juriidilist isikut, avaliku sektori asutust, ametit või muud organit, kellele pädev asutus isikuandmed seaduslikult avaldab. Kui pädev asutus kogus isikuandmed algselt mõnel käesoleva direktiivi kohasel eesmärgil, tuleks kõnealuste andmete töötlemisele muudel eesmärkidel kui käesoleva direktiivi eesmärgid kohaldada määrust (EL) 2016/679, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Eelkõige tuleks määruse (EL) 2016/679 norme kohaldada sellisele isikuandmete edastamisele, mille eesmärk ei kuulu käesoleva direktiivi kohaldamisalasse. Kui isikuandmeid töötleb vastuvõtja, kes ei ole pädev asutus käesoleva direktiivi tähenduses või ei tegutse sellise pädeva asutusena ja kellele pädev asutus isikuandmed seaduslikult avaldab, tuleks kohaldada määrust (EL) 2016/679. Käesoleva direktiivi rakendamisel peaksid liikmesriigid samuti saama täiendavalt täpsustada määruse (EL) 2016/679 normide kohaldamist viimases sätestatud tingimustel.

(35)

Selleks et isikuandmete töötlemine oleks seaduslik, peaks käesoleva direktiivi kohane isikuandmete töötlemine olema vajalik pädeva asutuse avalikes huvides oleva ülesande täitmiseks liidu või liikmesriigi õiguse alusel süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Kõnealused tegevused peaksid hõlmama andmesubjekti eluliste huvide kaitsmist. Pädevatele asutustele institutsiooniliselt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise eesmärgil seadusega antud ülesande täitmine annab neile õiguse nõuda või kohustada, et füüsilised isikud vastaksid esitatud taotlustele. Sellisel juhul ei tohiks andmesubjekti nõusolek (mis on määratletud määruses (EL) 2016/679) olla õiguslik alus isikuandmete töötlemiseks pädevate asutuste poolt. Kui andmesubjektilt nõutakse juriidilise kohustuse täitmist, puudub andmesubjektil tõeline ja vaba valikuvõimalus ning seetõttu ei saa andmesubjekti reaktsiooni käsitada vabatahtliku tahteavaldusena. See ei tohiks takistada liikmesriikidel õigusaktidega ette näha, et andmesubjekt võib nõustuda oma isikuandmete käesoleva direktiivi eesmärkidel toimuva töötlemisega, nagu kriminaaluurimises tehtavad DNA testid või tema asukoha jälgimine elektrooniliste märgiste abil kriminaalkaristuste täitmisele pööramiseks.

(36)

Liikmesriigid peaksid sätestama, et kui andmeid edastava pädeva asutuse suhtes kohaldatavas liidu või liikmesriigi õiguses on sätestatud konkreetsed tingimused, mida kohaldatakse konkreetsetel juhtudel isikuandmete töötlemisele, näiteks menetluskoodide kasutamine, peaks andmeid edastav pädev asutus selliste isikuandmete vastuvõtjat kõnealustest tingimustest ja nende järgimise nõudest teavitama. Selliste tingimuste hulka võib näiteks kuuluda keeld edastada isikuandmeid kolmandatele isikutele või kasutada neid muul eesmärgil kui see, milleks neid vastuvõtjale edastati, või teavitada andmesubjekti teabe saamise õiguse piirangu korral ilma andmeid edastava pädeva asutuse eelneva nõusolekuta. Kõnealused kohustused peaksid kohalduma ka andmete edastamisele pädeva asutuse poolt kolmandates riikides asuvatele vastuvõtjatele või rahvusvahelistele organisatsioonidele. Liikmesriigid peaksid tagama, et andmeid edastav pädev asutus ei kohalda teistes liikmesriikides asuvate vastuvõtjate ega ELi toimimise lepingu V jaotise 4. ja 5. peatüki kohaselt loodud asutuste ja organite suhtes selliseid tingimusi, välja arvatud tingimused, mida kohaldatakse sarnasele andmeedastusele kõnealuse pädeva asutuse liikmesriigis.

(37)

Isikuandmeid, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti delikaatsed, väärivad erikaitset, sest nende töötlemise kontekst võib tekitada suurt ohtu põhiõigustele ja -vabadustele. Need isikuandmed peaks hõlmama isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas direktiivis ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu. Selliseid isikuandmeid ei tohiks töödelda, välja arvatud juhul, kui andmesubjekti õiguste ja vabaduste suhtes kohaldatakse töötlemisel asjakohaseid õiguses sätestatud kaitsemeetmeid, ning õiguses lubatud juhtudel; või kui töötlemine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks, kui sellise õiguse kohaselt ei ole see juba lubatud; või kui töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud. Andmesubjekti õiguste ja vabaduste asjakohased kaitsemeetmed võivad hõlmata võimalust koguda selliseid andmeid ainult seoses muude asjaomast füüsilist isikut käsitlevate andmetega, võimalust tagada kogutud andmete piisav turvalisus, rangemaid norme pädeva asutuse töötajate juurdepääsuks andmetele ja selliste andmete edastamise keelamist. Selliste isikuandmete töötlemine peaks samuti olema õigusaktiga lubatud, kui andmesubjekt on andnud sõnaselge nõusoleku selliseks isikuandmete töötlemiseks, mis on tema suhtes erakordselt sekkuv. Andmesubjekti nõusolek iseenesest ei peaks siiski olema õiguslik alus selliste delikaatsete isikuandmete töötlemiseks pädevate asutuste poolt.

(38)

Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes isikuandmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat otsust, millel on teda puudutavad negatiivsed õiguslikud tagajärjed või mis teda märkimisväärselt mõjutavad. Igal juhul tuleks sellise töötlemise korral kohaldada sobivaid kaitsemeetmeid, mis muu hulgas hõlmavad andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, eelkõige õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ja õigust otsust vaidlustada. Keelatud peaks olema profiilianalüüs, mille tulemusena diskrimineeritakse füüsilisi isikuid selliste isikuandmete alusel, mis on oma laadilt eriti delikaatsed seoses põhiõiguste ja -vabadustega, tingimustel, mis on sätestatud harta artiklites 21 ja 52.

(39)

Selleks et andmesubjekt saaks oma õigusi teostada, peaks teave olema talle hõlpsasti kättesaadav, muu hulgas peaks see olema esitatud vastutava töötleja veebisaidil ja kergesti arusaadav ning selgelt ja lihtsalt sõnastatud. Selline teave peaks olema kohandatud vastavalt kaitsetute isikute, nagu lapsed, vajadustele.

(40)

Tuleks ette näha kord, millega hõlbustatakse käesoleva direktiivi kohaselt vastu võetud sätete alusel andmesubjekti õiguste teostamist, sealhulgas mehhanismid, mille abil saab taotleda tutvumist isikuandmetega ja asjakohasel juhul eelkõige nendega tasuta tutvuda ning isikuandmete parandamist, kustutamist ja nende töötlemise piiramist. Vastutav töötleja peaks olema kohustatud vastama andmesubjektide taotlusele põhjendamatu viivituseta, välja arvatud juhul, kui vastutav töötleja kohaldab kooskõlas käesoleva direktiiviga andmesubjekti õiguste suhtes piiranguid. Peale selle, kui taotlused on selgelt põhjendamatud või ülemäärased, näiteks kui andmesubjekt põhjendamatult ja korduvalt taotleb teavet või kui andmesubjekt kuritarvitab oma õigust saada teavet, näiteks esitades taotluse esitamisel vale- või eksitavat teavet, peaks vastutav töötleja saama nõuda mõistlikku tasu või keelduda taotluse alusel toimingu tegemisest.

(41)

Kui vastutav töötleja taotleb andmesubjekti isiku kinnitamiseks vajaliku täiendava teabe esitamist, tuleks nimetatud teavet töödelda üksnes nimetatud konkreetsel eesmärgil ja seda ei tuleks säilitada kauem kui nimetatud eesmärgi jaoks vajalik.

(42)

Andmesubjektile tuleks kättesaadavaks teha vähemalt järgmine teave: vastutava töötleja isik, teave andmesubjekti isikuandmete töötlemise kohta, isikuandmete töötlemise eesmärk, õigus esitada kaebus ning õigus taotleda vastutavalt töötlejalt tutvumist oma isikuandmetega ning nende parandamist, kustutamist või nende töötlemise piiramist. Seda võib teha pädeva asutuse veebisaidil. Peale selle tuleks konkreetsetel juhtudel ja selleks, et võimaldada andmesubjektil teostada oma õigusi, teda teavitada töötlemise õiguslikust alusest ja sellest, kui kaua andmeid säilitatakse, niivõrd kuivõrd selline täiendav teave on vajalik, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, et tagada isikuandmete õiglane töötlemine andmesubjekti suhtes.

(43)

Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks füüsilisel isikul olema õigus tutvuda andmetega, mis on tema kohta kogutud, ning seda õigust lihtsalt ja mõistlike ajavahemike järel teostada. Igal andmesubjektil peaks seega olema õigus teada isikuandmete töötlemise eesmärke, töötlemise ajavahemikku ja andmete vastuvõtjaid, sealhulgas kolmandates riikides, ning saada eelneva kohta teavet. Kui sellise teavitamise käigus antakse teavet isikuandmete päritolu kohta, ei tohiks selline teave paljastada füüsiliste isikute identiteeti ja eelkõige konfidentsiaalseid allikaid. Kõnealuse õiguse tagamiseks piisab, kui andmesubjektil on olemas arusaadaval kujul nimetatud andmete täielik kokkuvõte, s.o andmed kujul, mis võimaldab andmesubjektil saada nendest andmetest teadlikuks ning kontrollida, et need on õiged ja neid töödeldakse käesoleva direktiivi kohaselt, nii et tal on võimalik teostada talle käesoleva direktiiviga antud õigusi. Sellise kokkuvõtte võib esitada töödeldavate isikuandmete koopiana.

(44)

Liikmesriikidel peaks asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades olema võimalik võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile teabe hilisem või piiratud esitamine või esitamata jätmine või tema isikuandmetega tutvumise täielik või osaline piiramine sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks, süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise kahjustamise vältimiseks või kriminaalkaristuste täitmisele pööramiseks ning avaliku julgeoleku või riigi julgeoleku kaitsmiseks või teiste isikute õiguste ja vabaduste kaitsmiseks. Vastutav töötleja peaks iga konkreetse juhtumi puhul eraldi ja individuaalse uurimise käigus hindama, kas isikuandmetega tutvumise õigust tuleks osaliselt või täielikult piirata.

(45)

Andmesubjekti tuleks põhimõtteliselt teavitada kirjalikult isikuandmetega tutvumisest keeldumisest või selle piiramisest ning see teade peaks sisaldama otsuse faktilisi ja õiguslikke põhjusi.

(46)

Andmesubjekti õiguste piiramine peaks olema kooskõlas harta ning Euroopa inimõiguste konventsiooniga, nagu neid tõlgendavad Euroopa Kohus ja Euroopa Inimõiguste Kohus oma praktikas, ning eelkõige tuleb seejuures austada nende õiguste ja vabaduste põhiolemust.

(47)

Füüsilisel isikul peaks olema õigus teda käsitlevate ebaõigete isikuandmete parandamisele, eelkõige juhul, kui tegemist on faktiliste andmetega, ja kustutamisele, kui selliste andmete töötlemine rikub käesolevat direktiivi. Siiski ei tohiks andmete parandamise õigus mõjutada näiteks tunnistaja ütluse sisu. Füüsilisel isikul peaks samuti olema õigus isikuandmete töötlemise piiramisele, kui ta vaidlustab isikuandmete õigsuse ja kui nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või kui isikuandmeid tuleb säilitada tõendamise eesmärgil. Eelkõige tuleks isikuandmete kustutamise asemel nende töötlemist piirata, kui konkreetsel juhul on põhjendatult alust arvata, et andmete kustutamine võib kahjustada andmesubjekti õigustatud huve. Piiratud isikuandmeid tuleks sellisel juhul töödelda üksnes sel eesmärgil, mis takistas nende kustutamist. Isikuandmete töötlemise piiramise meetodid võivad muu hulgas hõlmata valitud andmete ümberpaigutamist teise töötlemissüsteemi, näiteks arhiveerimise eesmärgil, või valitud andmete muutmist kättesaamatuks. Automaatsetes andmete kogumites tuleks isikuandmete töötlemise piiramine tagada üldjuhul tehniliste vahenditega. Asjaolu, et isikuandmete töötlemine on piiratud, tuleks süsteemis esitada selliselt, et isikuandmete töötlemisele seatud piirangu olemasolu oleks selge. Isikuandmete parandamisest, kustutamisest ja nende töötlemise piiramisest tuleks teavitada vastuvõtjaid, kellele isikuandmed on avaldatud, ning pädevaid asutusi, kellelt ebaõiged andmed pärinevad. Samuti peaksid vastutavad töötlejad hoiduma selliste andmete edasisest levitamisest.

(48)

Kui vastutav töötleja jätab andmesubjekti ilma tema õigusest saada teavet, isikuandmetega tutvuda või neid parandada, kustutada või piirata nende töötlemist, peaks andmesubjektil olema õigus taotleda riigi järelevalveasutuselt töötlemise seaduslikkuse kontrollimist. Andmesubjekti tuleks nimetatud õigusest teavitada. Kui järelevalveasutus tegutseb andmesubjekti nimel, peaks järelevalveasutus teatama andmesubjektile vähemalt seda, et ta on teostanud kogu vajaliku kontrolli või kõik vajalikud läbivaatused. Järelevalveasutus peaks ühtlasi teavitama andmesubjekti õigusest kasutada õiguskaitsevahendit.

(49)

Kui isikuandmeid töödeldakse kriminaaluurimise ja kriminaalkohtumenetluse käigus, peaks liikmesriikidel olema võimalik ette näha, et teabe saamise, isikuandmetega tutvumise ja nende parandamise, kustutamise ja nende töötlemise piiramise õigust teostatakse vastavalt kohtumenetlust käsitlevatele liikmesriigi õigusnormidele.

(50)

Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva direktiiviga. Selliste meetmete puhul tuleks arvestada isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele. Vastutava töötleja võetavad meetmed peaksid hõlmama kaitsetute füüsiliste isikute, nagu laste isikuandmete töötlemist käsitlevate konkreetsete kaitsemeetmete väljatöötamist ja rakendamist.

(51)

Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, varaline või mittevaraline kahju, eelkõige juhtudel, kui isikuandmete töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu, pseudonümiseerimise loata lõpetamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi või ametiühingusse kuulumist; kui töödeldakse geneetilisi või biomeetrilisi andmeid, et isik kordumatult tuvastada, või kui töödeldakse andmeid tervise, seksuaalelu või seksuaalse sättumuse kohta ning süüteolasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel ja prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eelkõige laste isikuandmeid, või kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte.

(52)

Ohtu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes isikuandmete töötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks, kas isikuandmete töötlemise toimingutega kaasneb suur oht. Suur oht on konkreetne andmesubjektide õiguste ja vabaduste kahjustamise oht.

(53)

Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva direktiivi nõuete täitmine. Selliste meetmete rakendamine ei tohiks sõltuda üksnes majanduslikest kaalutlustest. Selleks et olla võimeline tõendama käesoleva direktiivi täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis järgivad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid. Kui vastutav töötleja on teinud käesolevas direktiivis nõutud andmekaitsealase mõjuhinnangu, tuleks mainitud meetmete ja korra väljatöötamisel selle tulemusi arvesse võtta. Kõnealuste meetmete hulka võiks muu hulgas kuuluda pseudonümiseerimise võimalikult kiire kasutuselevõtmine. Pseudonümiseerimise kasutamine käesoleva direktiivi eesmärkidel võib olla vahend, mis võiks kaasa aidata isikuandmete vabale liikumisele vabadusel, turvalisusel ja õigusel rajaneva ala piires.

(54)

Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas seoses järelevalveasutuste teostatava järelevalve ja nende võetavate meetmetega eeldab käesolevas direktiivis sätestatud vastutusvaldkondade selget jaotamist, seda ka juhul, kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui isikuandmete töötlemise toimingut teostatakse vastutava töötleja nimel.

(55)

Isikuandmete töötlemine volitatud töötleja poolt peaks olema reguleeritud õigusaktiga, milles muu hulgas käsitletakse volitatud töötlejat ja vastutavat töötlejat omavahel siduvat lepingut ning sätestatakse eelkõige, et volitatud töötleja peaks tegutsema ainult vastavalt vastutava töötleja juhistele. Volitatud töötleja peaks arvesse võtma lõimitud ja vaikimisi andmekaitse põhimõtet.

(56)

Käesoleva direktiivi täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja dokumenteerima kõik tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute liigid. Iga vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema taotluse korral nimetatud dokumentatsiooni järelevalveasutusele kättesaadavaks, et seda saaks kasutada kõnealuste töötlemise toimingute järelevalveks. Isikuandmeid mitteautomatiseeritud töötlemissüsteemides töötlev vastutav töötleja või volitatud töötleja peaks kasutama tõhusaid meetodeid isikuandmete töötlemise seaduslikkuse tõendamiseks, siseseire võimaldamiseks ning andmete tervikluse ja turvalisuse tagamiseks, näiteks logide või muude säilitamisviiside kujul.

(57)

Logisid tuleks pidada vähemalt automatiseeritud töötlemissüsteemides tehtavate toimingute kohta, nagu andmete kogumine, muutmine, lugemine, avalikustamine, sealhulgas edastamine, ühendamine ja kustutamine. Logida tuleks isikuandmeid lugenud või avalikustanud isiku identifitseerimisandmed ja kõnealuste identifitseerimisandmete põhjal peaks olema võimalik kindlaks teha isikuandmete töötlemise toimingu põhjendus. Logisid tuleks kasutada üksnes isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, andmete tervikluse ja turvalisuse tagamiseks ning kriminaalmenetlustes. Siseseire hõlmab ka pädevate asutuste siseseid distsiplinaarmenetlusi.

(58)

Kui on tõenäoline, et isikuandmete töötlemise toimingute tõttu tekib suur oht andmesubjektide õigustele ja vabadustele nende laadi, ulatuse või eesmärkide tõttu, peaks vastutav töötleja teostama andmekaitsealase mõjuhinnangu, mis peaks konkreetsemalt sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme, et tagada isikuandmete kaitse ja tõendada vastavust käesolevale direktiivile. Mõjuhinnangud peaksid hõlmama isikuandmete töötlemise toimingute asjaomaseid süsteeme ja menetlusi, kuid mitte üksikjuhtumeid.

(59)

Selleks et tagada andmesubjekti õiguste ja vabaduste tõhus kaitse, peaks vastutav töötleja või volitatud töötleja teatavatel juhtudel enne isikuandmete töötlemise algust konsulteerima järelevalveasutusega.

(60)

Turvalisuse tagamiseks ja käesolevat direktiivi rikkuva töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Selliste meetmetega tuleks tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, ja võtta arvesse teaduse ja tehnoloogia viimast arengut, ohule vastavaid rakenduskulusid ja kaitstavate isikuandmete laadi. Andmeturbeohtusid hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohtusid, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine või loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, varaline või mittevaraline kahju. Vastutav töötleja ja volitatud töötleja peaksid tagama, et isikuandmeid ei töötle volitamata isikud.

(61)

Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, varalise või mittevaralise kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata lõpetamine, maine kahjustamine, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. Seetõttu, niipea kui vastutav töötleja saab teada, et toimunud on isikuandmetega seotud rikkumine, peaks ta sellest põhjendamatu viivituseta teatama järelevalveasutusele ning võimaluse korral 72 tunni jooksul pärast rikkumisest teada saamist, välja arvatud juhul kui vastutav töötleja saab kooskõlas vastutamise põhimõttega tõendada, et rikkumise tulemusena ei teki tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele. Kui 72 tunni jooksul ei ole võimalik teatada, tuleks teatisele lisada viivituse põhjused ning selle teabe võib anda järk-järgult ilma põhjendamatu viivituseta.

(62)

Füüsilist isikut tuleks põhjendamatu viivituseta teavitada, kui isikuandmetega seotud rikkumise tulemusena tekib tõenäoliselt suur oht füüsilise isiku õigustele ja vabadustele, et ta saaks võtta vajalikke ettevaatusabinõusid. Teatises tuleks kirjeldada isikuandmetega seotud rikkumise olemust ning anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teatis tuleks saata andmesubjektile nii kiiresti kui mõistlikkuse piires võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjaomaste asutuste suunistest. Näiteks kahju tekkimise otsese ohtu leevendamise vajadus nõuaks andmesubjekti kohest teavitamist, samal ajal kui vajadus rakendada asjakohaseid meetmeid isikuandmetega seonduvate rikkumiste jätkumise või samalaadsete rikkumiste ärahoidmiseks võib õigustada hilisemat teavitamist. Kui asjaomase füüsilise isiku isikuandmetega seotud rikkumistest teavitamisega viivitamisega või teavitamise piiramisega ei ole võimalik vältida ametlike või õiguslike päringute, uurimiste või menetluste takistamist, süütegude tõkestamise, avastamise, uurimise või nende eest vastutusele võtmise kahjustamist või saavutada kriminaalkaristuste täitmisele pööramist, avaliku julgeoleku või riigi julgeoleku kaitsmist või teiste isikute õiguste ja vabaduste kaitsmist, võib erakorralisel juhul jätta andmesubjekti selliselt teavitamata.

(63)

Vastutav töötleja peaks määrama isiku, kes aitab tal valvata käesoleva direktiivi kohaselt vastu võetud sätete asutusesisese täitmise järele, välja arvatud juhul, kui liikmesriik otsustab vabastada sellest kohustusest kohtud ja muud sõltumatud õigusasutused menetlusotsuste tegemisel. Nimetatud isik võib olla vastutava töötleja olemasoleva personali hulka kuuluv töötaja, kes on saanud andmekaitsealase õiguse ja tava kohta eriväljaõppe, et omandada kõnealases valdkonnas ekspertteadmised. Ekspertteadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt isikuandmete töötlemise laadile ning vastutava töötleja töödeldavate isikuandmete kaitsmise nõuetele. Tema ülesannete täitmine võib toimuda osalise tööaja või täistööaja alusel. Mitu vastutavat töötlejat võivad ühiselt määrata ühe andmekaitseametniku, võttes arvesse nende asutuste organisatsioonilist struktuuri ja suurust, näiteks juhul, kui keskasutuses on ühised vahendid. Nimetatud isiku võib asjaomaste vastutavate töötlejate struktuuris määrata erinevatele ametikohtadele. Nimetatud isik peaks aitama vastutavat töötlejat ja isikuandmeid töötlevaid töötajaid, andes neile teavet ja nõu asjakohaste isikuandmete kaitse kohustuste täitmise kohta. Sellistel andmekaitseametnikel peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatult kooskõlas liikmesriigi õigusega.

(64)

Liikmesriigid peaksid tagama, et isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui see on vajalik süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, ja kui kolmanda riigi või rahvusvahelise organisatsiooni vastutav töötleja on käesoleva direktiivi tähenduses pädev asutus. Andmeid peaks edastama üksnes vastutava töötlejana tegutsev pädev asutus, välja arvatud juhul, kui volitatud töötlejale on antud sõnaselge korraldus edastada andmeid vastutava töötleja nimel. Isikuandmeid võib selliselt edastada juhul, kui komisjon on teinud otsuse, et kolmas riik või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme, kui on kehtestatud piisavad kaitsemeetmed või kui kohaldatakse erandeid eriolukordades. Isikuandmete edastamisel liidust vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele ei tohiks kahjustada käesoleva direktiiviga tagatud füüsiliste isikute kaitse taset liidus, sealhulgas juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis.

(65)

Kui liikmesriik edastab isikuandmeid kolmandatele riikidele või rahvusvahelistele organisatsioonidele, peaks seda põhimõtteliselt tegema alles pärast seda, kui liikmesriik, kust andmed saadi, on andnud nende edastamiseks loa. Tõhusa õiguskaitsealase koostöö huvides on vaja, et kui liikmesriigi või kolmanda riigi avalikku julgeolekut või liikmesriigi olulisi huve ähvardav oht on olemuselt nii vahetu, et ei ole võimalik õigeaegselt eelnevat luba saada, peaks pädeval asutusel olema võimalik edastada asjakohased isikuandmed asjaomasele kolmandale riigile või rahvusvahelisele organisatsioonile ilma sellise eelneva loata. Liikmesriigid peaksid sätestama, et edastamist käsitlevad eritingimused tuleks saata kolmandatele riikidele või rahvusvahelistele organisatsioonidele. Isikuandmete edasi saatmise tingimuseks peaks olema andmed algselt edastanud pädeva asutuse eelnev luba. Tehes otsust andmete edasi saatmiseks loa saamise taotluse kohta, peaks algselt andmed edastanud pädev asutus võtma nõuetekohaselt arvesse kõiki asjakohaseid tegureid, muu hulgas süüteo raskust, kohalduvaid eritingimusi ja andmete algse edastamise eesmärki, kriminaalkaristuse täitmisele pööramise laadi ja tingimusi ning isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse. Peale selle peaks andmed algselt edastanud pädev asutus saama kehtestada andmete edasisaatmisele eritingimusi. Sellised eritingimusi võib kirjeldada näiteks menetluskoodide kehtestamisel.

(66)

Komisjon peaks saama kogu liitu puudutavalt otsustada, et teatav kolmas riik, kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon pakuvad isikuandmete kaitset piisaval tasemel, tagades seega kogu liidus õiguskindluse ja ühtsuse nende kolmandate riikide ja rahvusvaheliste organisatsioonide osas, mille puhul loetakse, et nad tagavad isikuandmete kaitse piisaval tasemel. Sellisel juhul võib isikuandmeid edastada kõnealustesse riikidesse ilma eriloata, välja arvatud juhul, kui muu liikmesriik, kust andmed saadi, peab andma edastamiseks loa.

(67)

Kooskõlas põhiväärtustega, millele liit on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi või kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori hindamisel arvesse võtma seda, kuidas konkreetne kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest ning oma üldistest ja valdkondlikest õigusaktidest, sealhulgas õigusaktidest, mis käsitlevad avalikku julgeolekut, riigikaitset ja riiklikku julgeolekut, samuti avalikku korda ja kriminaalõigust. Võttes vastu kaitse piisavuse otsust seoses kolmanda riigi territooriumi või kindlaksmääratud sektoriga, tuleks arvesse võtta selgeid ja objektiivseid kriteeriume, näiteks konkreetseid isikuandmete töötlemise toiminguid ja kohaldatavate õigusnormide kohaldamisala ning kolmandas riigis kehtivaid õigusakte. Kolmas riik peaks võtma kohustuse tagada piisav kaitse tase, mis sisuliselt vastab liidus tagatava kaitse tasemele, eelkõige juhul, kui andmeid töödeldakse ühes või mitmes kindlaksmääratud sektoris. Eelkõige peaks kolmas riik tagama andmete kaitse tõhusa ja sõltumatu järelevalve ning nägema ette liikmesriikide andmekaitseasutustega tehtava koostöö mehhanismid, samuti tuleks andmesubjektidele tagada tõhusad ja kohtulikult kaitstavad õigused ning tõhus haldus- ja õiguskaitse.

(68)

Lisaks kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelistele kohustustele peaks komisjon võtma arvesse ka kohustusi, mis tulenevad kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega, samuti selliste kohustuste rakendamist. Eelkõige tuleks arvesse võtta kolmanda riigi ühinemist Euroopa Nõukogu 28. jaanuari 1981. aasta isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni ja selle lisaprotokolliga. Kolmandate riikide või rahvusvaheliste organisatsioonide kaitse taseme hindamisel peaks komisjon konsulteerima määrusega (EL) 2016/679 asutatud Euroopa Andmekaitsenõukoguga („andmekaitsenõukogu“). Samuti peaks komisjon arvesse võtma kõiki asjaomaseid määruse (EL) 2016/679 artikli 45 kohaselt vastu võetud komisjoni otsuseid kaitse piisavuse kohta.

(69)

Komisjon peaks valvama nende otsuste toimimise järele, milles käsitletakse kaitse taset kolmandas riigis või kolmanda riigi territooriumil või kolmanda riigi kindlaksmääratud sektoris või rahvusvahelises organisatsioonis. Komisjon peaks kaitse piisavuse otsustes nägema ette nende toimimise korrapärase läbivaatamise mehhanismi. Nimetatud korrapärane läbivaatamine peaks toimuma asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsulteerides ning arvesse tuleks võtta kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis.

(70)

Komisjonil peaks samuti olema võimalik tunnistada, et kolmas riik, kolmanda riigi territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel andmekaitset. Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile või rahvusvahelisele organisatsioonile keelata, välja arvatud juhul, kui täidetakse käesoleva direktiivi nõudeid edastamisel kasutatavate asjakohaste kaitsemeetmete kohta ja erandite kohta eriolukordades. Ette tuleks näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni vahelise konsulteerimise kord. Komisjon peaks kolmandat riiki või rahvusvahelist organisatsiooni õigeaegselt põhjustest teavitama ja alustama nendega konsultatsioone, et olukorda parandada.

(71)

Isikuandmete edastamine ilma kaitse piisavuse otsuseta peaks olema lubatud üksnes juhul, kui õiguslikult siduvas aktis on sätestatud isikuandmete kaitseks asjakohased kaitsemeetmed või kui vastutav töötleja, olles hinnanud kõiki andmete edastamisega seotud asjaolusid, on kõnealusest hinnangust lähtudes seisukohal, et isikuandmete kaitseks vajalikud kaitsemeetmed on võetud. Selline õiguslikult siduv akt võiks näiteks olla õiguslikult siduv kahepoolne leping, mille sõlmivad liikmesriigid ja mida rakendatakse nende õiguskorras ning mida võivad jõustada nende andmesubjektid, tagades andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, mis hõlmab õigust tõhusale haldus- või õiguskaitsele. Andmete edastamist puudutavate kõigi asjaolude hindamisel peaks vastutav töötleja saama võtta arvesse Europoli või Eurojusti ja kolmandate riikide vahel sõlmitud koostöökokkuleppeid, mis võimaldavad isikuandmete vahetamist. Vastutav töötleja peaks saama võtta arvesse ka asjaolu, et isikuandmete edastamisele kohaldatakse konfidentsiaalsuse kohustust ja sihtotstarbelisuse põhimõtet, millega tagatakse, et andmeid ei töödelda muul kui edastamisega seotud eesmärgil. Lisaks peaks vastutav töötleja võtma arvesse seda, et isikuandmeid ei kasutata selleks, et taotleda surmanuhtlust või muud julma ja ebainimlikku kohtlemist, anda selleks käsk või viia see täide. Kuigi kõnealuseid tingimusi võib lugeda asjakohasteks kaitsemeetmeteks, mis võimaldavad andmete edastamist, peaks vastutav töötleja saama nõuda täiendavaid kaitsemeetmeid.

(72)

Kaitse piisavuse otsuse või asjakohaste kaitsemeetmete puudumise korral võivad edastamine või teatud kategooriasse kuuluvad edastamistoimingud toimuda üksnes eriolukordades, kui see on vajalik selleks, et kaitsta andmesubjekti või muu isiku elulisi huve või tagada andmesubjekti õigustatud huvid, kui isikuandmeid edastava liikmesriigi õiguses on nii sätestatud või kui see on vajalik, et vältida vahetut ja tõsist ohtu liikmesriigi või kolmanda riigi avalikule julgeolekule, või see on üksikjuhtumi korral vajalik süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, või kui see on üksikjuhtumi korral vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. Kõnealuseid erandeid tuleks tõlgendada kitsalt ning need ei tohiks võimaldada isikuandmete sagedast, ulatuslikku ja struktuurset edastamist ega andmete suuremahulist edastamist, vaid peaks piirduma rangelt vajalike andmetega. Selline edastamine tuleks dokumenteerida ning need dokumendid tuleks teha järelevalveasutusele taotluse korral kättesaadavaks, et valvata edastamise seaduslikkuse järele.

(73)

Liikmesriikide pädevad asutused kohaldavad kolmandate riikidega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal sõlmitud kehtivaid kahepoolseid või mitmepoolseid rahvusvahelisi lepinguid, et vahetada asjakohast teavet, mis võimaldab neil täita neile seaduslikult antud ülesandeid. Põhimõtteliselt toimub see asjaomaste kolmandate riikide asutuste kaudu, kes on pädevad käesoleva direktiivi eesmärkidel, või vähemalt nendega koostöös, mõnikord isegi ilma, et oleks sõlmitud kahepoolne või mitmepoolne rahvusvaheline leping. Siiski võib konkreetsetel üksikjuhtudel juhtuda, et tavapärased menetlused, mis nõuavad ühenduse võtmist sellise kolmanda riigi asutusega, ei ole mõjusad või asjakohased, eelkõige seetõttu, et andmeid ei saaks edastada õigeaegselt, või seetõttu, et kõnealune kolmanda riigi asutus ei austa õigusriigi põhimõtet või rahvusvahelisi inimõigustealaseid norme ja standardeid, mistõttu liikmesriikide pädevad asutused võiksid otsustada edastada isikuandmed otse kõnealustes kolmandates riikides asuvatele vastuvõtjatele. Selline olukord võib tekkida siis, kui isikuandmeid on vaja edastada kiiresti, et päästa süüteo ohvriks langemise ohus oleva isiku elu või hoida ära lähiajal toimepandav kuritegu, sealhulgas terroriakt. Isegi juhul, kui selliselt edastataks andmeid pädevate asutuste ja kolmandates riikides asuvate vastuvõtjate vahel üksnes konkreetsetel üksikjuhtudel, tuleks käesolevas direktiivis ette näha tingimused selliste juhtude reguleerimiseks. Nimetatud sätteid ei tuleks käsitleda erandina ühestki kehtivast kahepoolsest või mitmepoolsest rahvusvahelisest lepingust kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal. Nimetatud põhimõtteid tuleks kohaldada lisaks käesoleva direktiivi muudele normidele, eelkõige töötlemise seaduslikkust käsitlevatele ja V peatükis sisalduvatele normidele.

(74)

Isikuandmete liikumine üle piiride võib raskendada füüsiliste isikute võimalusi kasutada oma isikuandmete kaitse õigust, et kaitsta end kõnealuste andmete ebaseadusliku kasutamise ja avalikustamise eest. Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega toimetada uurimist väljapoole oma riigi piire jäävates küsimustes. Järelevalveasutuste piiriülese koostöö püüdlusi võivad takistada ka ebapiisavad volitused tõkestamiseks ja kaitsemeetmete võtmiseks ning õiguskordade erinevused. Seepärast on vaja tihendada andmekaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet teiste riikide järelevalveasutustega.

(75)

Liikmesriikides täiesti sõltumatult oma tööülesandeid täita saavate järelevalveasutuste loomine on oluline, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Järelevalveasutused peaksid valvama käesoleva direktiivi kohaldamise järele ja aitama kaasa selle järjekindlale kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga.

(76)

Liikmesriigid võivad panna määruse (EL) 2016/679 kohaselt juba loodud järelevalveasutustele ülesande täita käesoleva direktiivi kohaselt loodavate riiklike järelevalveasutuste ülesandeid.

(77)

Liikmesriikidel peaks olema õigus luua mitu järelevalveasutust vastavalt nende põhiseaduslikule, organisatsioonilisele ja haldusstruktuurile. Igale järelevalveasutusele tuleks anda rahalised ja inimressursid, ruumid ja taristu, mis on vajalikud nende ülesannete, sealhulgas kogu liidus teiste järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks. Igal järelevalveasutusel peaks olema eraldi avalik aastaeelarve, mis võib olla piirkonna või riigi üldeelarve osa.

(78)

Järelevalveasutustele tuleks nende rahaliste kulutuste osas kohaldada sõltumatuid kontrolli- või järelevalvemehhanisme, tingimusel et selline finantskontroll ei mõjuta nende sõltumatust.

(79)

Järelevalveasutuse liikmele või liikmetele esitatavad üldtingimused tuleks kehtestada liikmesriigi õigusega ning neis tuleks eelkõige ette näha see, et liikmed peaks valitsuse või valitsuse liikme või parlamendi või parlamendi koja ettepaneku alusel nimetama läbipaistva menetluse teel ametisse liikmesriigi parlament või valitsus või riigipea või liikmesriigi õiguse kohaselt volitatud sõltumatu asutus. Järelevalveasutuse sõltumatuse tagamiseks peaks liige või liikmed käituma ausalt, hoiduma oma kohustustega kokkusobimatust tegevusest ja ei peaks töötama oma ametiaja jooksul ühelgi oma kohustustega kokkusobimatul tasustataval ega mittetasustataval ametikohal. Järelevalveasutuse sõltumatuse tagamiseks peaks töötajad valima järelevalveasutus, kes võib selleks kaasata liikmesriigi õiguse kohaselt volitatud sõltumatu asutuse.

(80)

Kuigi käesolevat direktiivi kohaldatakse ka liikmesriikide kohtute ja muude õigusasutuste tegevuse suhtes, ei tohiks järelevalveasutuste pädevus hõlmata isikuandmete töötlemist, kui kohtud täidavad õigusemõistmise funktsiooni, et kaitsta kohtunike sõltumatust nende õigusemõistmise funktsiooni täitmisel. Kõnealune erand peaks piirduma õiguskaitseasutuste tegevusega kohtuasjades ega tohiks laieneda muule tegevusele, millega kohtunikud on seotud vastavalt liikmesriigi õigusele. Samuti peaks liikmesriikidel olema võimalik sätestada, et järelevalveasutuse pädevus ei hõlma isikuandmete töötlemist muu sõltumatu õigusasutuse, näiteks prokuratuuri poolt, kui ta teeb menetlusotsuseid. Igal juhul kohaldatakse käesoleva direktiivi normide täitmise suhtes kohtute ja muude sõltumatute õigusasutuste poolt alati sõltumatut järelevalvet kooskõlas harta artikli 8 lõikega 3.

(81)

Järelevalveasutus peaks käsitlema andmesubjekti poolt esitatud kaebusi ja küsimust uurima või edastama selle pädevale järelevalveasutusele. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks andmesubjekti sellest teavitada.

(82)

Selleks et tagada kogu liidus mõjus, usaldusväärne ja sidus käesoleva direktiivi järgimise järelevalve ja selle tagamine kooskõlas ELi toimimise lepinguga, nagu seda tõlgendab Euroopa Kohus, peaks järelevalveasutustel olema igas liikmesriigis samad ülesanded ja tegelikud volitused, sealhulgas uurimis-, parandus- ja nõuandevolitused, mis on nendele antud ülesannete täitmiseks vajalikud. Nende volitused ei tohiks aga mõjutada kriminaalmenetluse, sealhulgas süütegude uurimise ja nende eest vastutusele võtmise kohta sätestatud erinorme ega kohtusüsteemi sõltumatust. Ilma et see mõjutaks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, peaksid järelevalveasutused olema ka volitatud tegema käesoleva direktiivi rikkumised teatavaks õigusasutustele või osalema kohtumenetluses. Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriigi õigusega sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul. Eelkõige peaks iga meede olema asjakohane, vajalik ja proportsionaalne käesoleva direktiivi järgimise tagamise seisukohast, võttes arvesse üksikjuhtumi asjaolusid, austama iga isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele. Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi õiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue. Õiguslikult siduva otsuse vastuvõtmisele tuleks kohaldada kohtulikku kontrolli otsuse vastu võtnud järelevalveasutuse liikmesriigis.

(83)

Järelevalveasutused peaksid üksteist oma ülesannete täitmisel abistama ja andma vastastikust abi, et tagada käesoleva direktiivi kohaselt vastu võetud sätete järjekindel kohaldamine ja täitmine.

(84)

Andmekaitsenõukogu peaks aitama kaasa käesoleva direktiivi järjekindlale kohaldamisele kogu liidus, sealhulgas nõustades komisjoni ja edendades järelevalveasutuste koostööd kogu liidus.

(85)

Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva direktiivi kohaselt vastu võetud sätete kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Pädev järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks andmesubjekti sellest teavitada. Järelevalveasutus peaks võtma meetmed kaebuste esitamise hõlbustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, välistamata muude sidevahendite kasutamist.

(86)

Igal füüsilisel või juriidilisel isikul peaks olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on kõnealuse isiku suhtes õiguslikud tagajärjed. Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Kõnealune õigus ei hõlma siiski järelevalveasutuste muid, õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid. Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi õigusega. Kõnealustel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud.

(87)

Kui andmesubjekt leiab, et tema käesoleva direktiivi kohaseid õigusi on rikutud, peaks tal olema õigus volitada asutust, mille eesmärk on kaitsta andmesubjektide isikuandmete kaitsega seonduvaid õigusi ja huve ning mis on loodud liikmesriigi õiguse alusel, esitama tema nimel järelevalveasutusele kaebus ning teostama tema nimel õigust õiguskaitsevahendile. Andmesubjekti esindusõigus ei tohiks mõjutada liikmesriigi menetlusõigust, milles võib sisalduda nõue, et andmesubjekti peab liikmesriigi kohtutes esindama jurist, nagu on kindlaks määratud nõukogu direktiivis 77/249/EMÜ (10).

(88)

Vastutav töötleja või muu liikmesriigi õiguse kohaselt pädev asutus peaks hüvitama kahju, mille füüsilisele isikule võib põhjustada käesoleva direktiivi kohaselt vastu võetud sätteid rikkuv isikuandmete töötlemine. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva direktiivi eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tulenevaid kahjunõudeid. Kui viidatakse isikuandmete töötlemisele, mis on ebaseaduslik või rikub käesoleva direktiivi kohaselt vastu võetud sätteid, hõlmab see samuti isikuandmete töötlemist, mis rikub käesoleva direktiivi kohaselt vastu võetud rakendusakte. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud.

(89)

Igale füüsilisele isikule ja eraõiguslikule või avalik-õiguslikule juriidilisele isikule, kes rikub käesolevat direktiivi, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja heidutavad, ning võtma kõik meetmed karistuste täitmisele pööramiseks.

(90)

Selleks et tagada käesoleva direktiivi ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused järgmistes küsimustes: kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; vastastikuse abistamise vorm ja kord ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse kord. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (11).

(91)

Kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelises organisatsiooni kaitse piisava taseme, vastastikuse abistamise vormi ja korda ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korda käsitlevate rakendusaktide vastuvõtmiseks tuleks kasutada kontrollimenetlust, kuna nimetatud rakendusaktid on üldise iseloomuga.

(92)

Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelise organisatsiooniga, kes enam ei taga isikuandmete kaitse piisavat taset, ning kui tungiv kiireloomulisus seda nõuab, peaks komisjon võtma vastu viivitamata kohaldatavad rakendusaktid.

(93)

Kuna käesoleva direktiivi eesmärke, nimelt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ning tagada liidus isikuandmete vaba vahetamine pädevate asutuste vahel, ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid meetme ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas ELi lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(94)

See ei tohiks mõjutada kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal vastu võetud liidu õigusaktide erisätteid, mis võeti vastu enne käesoleva direktiivi vastuvõtmise kuupäeva ning millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist või liikmesriigi määratud asutuste juurdepääsu aluslepingute kohaselt loodud infosüsteemidele, nagu näiteks isikuandmete kaitset käsitlevad erisätted, mida kohaldatakse nõukogu otsuse 2008/615/JSK (12) kohaselt või Euroopa Liidu liikmesriikide vahelist vastastikust õigusabi kriminaalasjades käsitleva konventsiooni (13) artikli 23 kohaselt. Kuna harta artiklis 8 ja ELi toimimise lepingu artiklis 16 nõutakse, et põhiõigust isikuandmete kaitsmisele tagatakse järjekindlal viisil kogu liidus, peaks komisjon hindama olukorda, mis tuleneb seosest käesoleva direktiivi ja enne käesoleva direktiivi vastuvõtmise kuupäeva vastu võetud liidu õigusaktide vahel, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute kohaselt loodud infosüsteemidele, et hinnata vajadust viia nimetatud erisätted kooskõlla käesoleva direktiiviga. Asjakohasel juhul peaks komisjon tegema ettepanekuid, et tagada isikuandmete töötlemist käsitlevate õigusnormide sidusus.

(95)

Selleks et tagada liidus isikuandmete igakülgne ja sidus kaitse, peaksid rahvusvahelised lepingud, mille liikmesriigid on sõlminud enne käesoleva direktiivi jõustumise kuupäeva ja mis on kooskõlas enne kõnealust kuupäeva kohaldatava asjaomase liidu õigusega, jääma jõusse kuni nende muutmise, asendamise või lõpetamiseni.

(96)

Liikmesriikidele tuleks anda käesoleva direktiivi ülevõtmiseks tähtaeg, mis ei ületa kahte aastat käesoleva direktiivi jõustumise kuupäevast. Isikuandmete töötlemine, mida on juba alustatud enne kõnealust kuupäeva, tuleks viia käesoleva direktiiviga kooskõlla kahe aasta jooksul pärast käesoleva direktiivi jõustumist. Kui selline töötlemine on aga kooskõlas enne käesoleva direktiivi jõustumise kuupäeva kohaldatava liidu õigusega, ei tuleks käesoleva direktiivi nõudeid, mis puudutavad järelevalveasutusega eelnevat konsulteerimist, kohaldada enne kõnealust kuupäeva juba alustatud isikuandmete töötlemise toimingute suhtes, kuna nimetatud nõuded peavad oma olemuse tõttu olema täidetud enne isikuandmete töötlemise alustamist. Kui liikmesriik kasutab enne käesoleva direktiivi jõustumise kuupäeva loodud automatiseeritud töötlemissüsteemi puhul logi pidamise kohustuse täitmiseks pikemat rakendamistähtaega, mis lõpeb seitsme aasta möödumisel kõnealusest kuupäevast, peaks vastutav töötleja või volitatud töötleja kasutama tõhusat meetodit isikuandmete töötlemise seaduslikkuse tõendamiseks, siseseire võimaldamiseks ning isikuandmete tervikluse ja turvalisuse tagamiseks, näiteks logide või muude säilitamisviiside kujul.

(97)

Käesolev direktiiv ei piira laste seksuaalse kuritarvitamise ja ärakasutamise ning lapsporno vastase võitluse norme, mis on kehtestatud Euroopa Parlamendi ja nõukogu direktiiviga 2011/93/EL (14).

(98)

Raamotsus 2008/977/JSK tuleks seetõttu kehtetuks tunnistada.

(99)

ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei ole käesolevas direktiivis sätestatud normid füüsiliste isikute kaitse kohta isikuandmete töötlemisel liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse kuuluva tegevuse puhul Ühendkuningriigi ja Iirimaa suhtes siduvad, kui Ühendkuningriigi ja Iirimaa suhtes ei ole siduvad normid, mis käsitlevad õigusalast koostööd kriminaalasjades või politseikoostööd, mille raames tuleb järgida ELi toimimise lepingu artikli 16 alusel kehtestatud sätteid.

(100)

ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 22 (Taani seisukoha kohta) artiklite 2 ja 2a kohaselt ei ole käesolevas direktiivis sätestatud normid füüsiliste isikute kaitse kohta isikuandmete töötlemisel liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse kuuluva tegevuse puhul Taani suhtes siduvad ega kohaldatavad. Arvestades, et käesolev direktiiv põhineb ELi toimimise lepingu kolmanda osa V jaotise alusel Schengeni acquis'l, otsustab Taani kõnealuse protokolli artikli 4 kohaselt kuue kuu jooksul pärast käesoleva direktiivi vastuvõtmist, kas ta rakendab seda oma siseriiklikus õiguses.

(101)

Islandi ja Norra puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahelise lepingu (viimase kahe riigi osalemiseks Schengeni acquis' sätete rakendamises, kohaldamises ja edasiarendamises) (15) tähenduses.

(102)

Šveitsi puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis' rakendamise, kohaldamise ja edasiarendamisega) (16) tähenduses.

(103)

Liechtensteini puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahelise protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis' rakendamise, kohaldamise ja edasiarendamisega) (17) tähenduses.

(104)

Käesolevas direktiivis peetakse kinni ELi toimimise lepingus sätestatud ja hartas tunnustatud põhiõigustest ja põhimõtetest, eelkõige õigusest era- ja perekonnaelu austamisele ning isikuandmete kaitsele, tõhusale õiguskaitsevahendile ning õiglasele kohtulikule arutamisele. Nimetatud õiguste suhtes kehtestatud piirangud on kooskõlas harta artikli 52 lõikega 1, olles vajalikud liidu poolt tunnustatud üldist huvi pakkuvate eesmärkide saavutamiseks ning teiste isikute õiguste ja vabaduste kaitsmiseks.

(105)

Kooskõlas liikmesriikide ja komisjoni 28. septembri 2011. aasta ühise poliitilise deklaratsiooniga selgitavate dokumentide kohta kohustuvad liikmesriigid põhjendatud juhtudel lisama ülevõtmismeetmeid käsitlevale teatele ühe või mitu dokumenti, milles selgitatakse seost direktiivi osade ja ülevõtvate siseriiklike õigusaktide vastavate osade vahel. Käesoleva direktiivi puhul leiab seadusandja, et selliste dokumentide edastamine on põhjendatud.

(106)

Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2 ning ta esitas arvamuse 7. märtsil 2012 (18).

(107)

Käesolev direktiiv ei tohiks takistada liikmesriikidel näha kriminaalmenetlust käsitlevates liikmesriigi õigusnormides ette andmesubjekti õigus saada kriminaalmenetluse käigus teavet, tutvuda isikuandmetega ja isikuandmeid parandada, kustutada ja nende töötlemist piirata, ega nende õiguste piiranguid,

a)

kaitsevad füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele, ning

b)

tagavad, et pädevate asutuste vahelist isikuandmete vahetamist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel, kui selline isikuandmete vahetamine on nõutav liidu või liikmesriigi õigusega.

a)

isikuandmeid töödeldakse sellise tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse;

b)

isikuandmeid töötlevad liidu institutsioonid, organid ja asutused.

a)

avaliku sektori asutus, kes on pädev süütegusid tõkestama, uurima, avastama või nende eest vastutusele võtma või kriminaalkaristusi täitmisele pöörama, sealhulgas kaitsma avalikku julgeolekut ähvardavate ohtude eest ja neid ohte ennetama, või

b)

muu asutus või üksus, kes teostab liikmesriigi õiguse kohaselt avalikku võimu süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil;

a)

isikuandmeid töödeldakse seaduslikult ja õiglaselt;

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda viisil, mis on nende eesmärkidega vastuolus;

c)

isikuandmed on piisavad ja asjakohased ega ole liiased nende töötlemise eesmärkide suhtes;

d)

isikuandmed on õiged ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed tagamaks, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutatakse või parandatakse viivitamata;

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse;

f)

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kadumise, hävimise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid.

a)

vastutav töötleja on volitatud töötlema selliseid isikuandmeid sellisel eesmärgil kooskõlas liidu või liikmesriigi õigusega ning

b)

isikuandmete töötlemine on vajalik ja proportsionaalne kõnealuse muu eesmärgiga, nagu on ette nähtud liidu või liikmesriigi õiguses.

a)

isikud, kelle puhul on tõsine alus arvata, et nad on toime pannud või panevad varsti toime süüteo;

b)

isikud, kes on süüteos süüdi mõistetud;

c)

süüteoohvrid ja isikud, kelle puhul teatavad asjaolud annavad alust arvata, et nad võivad olla süüteo ohvrid, ning

d)

süüteoga seotud muud isikud, näiteks isikud, keda süüteo uurimise või sellele järgneva kriminaalmenetluse käigus võidakse kutsuda tunnistusi andma, isikud, kellelt võib saada teavet süüteo kohta, ning punktides a ja b osutatud isikute kontaktisikud ja kaasosalised.

a)

see on lubatud liidu või liikmesriigi õigusega;

b)

et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve või

c)

selliselt töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud.

a)

küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või

b)

keelduda taotletud meetmete võtmisest.

a)

vastutava töötleja nimi ja kontaktandmed;

b)

kui kohaldatav, siis andmekaitseametniku kontaktandmed;

c)

isikuandmete töötlemise kavandatud eesmärk;

d)

õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

e)

õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmetega tutvumist ning nende parandamist või kustutamist ja isikuandmete töötlemise piiramist.

a)

isikuandmete töötlemise õiguslik alus;

b)

isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid;

c)

asjakohasel juhul isikuandmete vastuvõtjate kategooriad, sealhulgas kolmandates riikides või rahvusvahelistes organisatsioonides;

d)

vajaduse korral täiendav teave, eriti juhul, kui isikuandmed on kogutud andmesubjekti teadmata.

a)

ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;

b)

süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)

avaliku julgeoleku kaitseks;

d)

riigi julgeoleku kaitseks;

e)

teiste isikute õiguste ja vabaduste kaitseks.

a)

töötlemise eesmärk ja õiguslik alus;

b)

asjaomaste isikuandmete liigid;

c)

vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)

kui võimalik, siis kavandatav isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid;

e)

õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmete parandamist, kustutamist või nende töötlemise piiramist;

f)

õigus esitada järelevalveasutusele kaebus ning järelevalveasutuse kontaktandmed;

g)

töödeldavate isikuandmete ja nende päritolu käsitleva olemasoleva teabe edastamine.

a)

ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;

b)

süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)

avaliku julgeoleku kaitseks;

d)

riigi julgeoleku kaitseks;

e)

teiste isikute õiguste ja vabaduste kaitseks.

a)

andmesubjekt vaidlustab isikuandmete õigsuse ning nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või

b)

isikuandmeid tuleb säilitada tõendamise eesmärgil.

a)

ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;

b)

süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)

avaliku julgeoleku kaitseks;

d)

riigi julgeoleku kaitseks;

e)

teiste isikute õiguste ja vabaduste kaitseks.

a)

tegutseb üksnes vastutava töötleja suuniste alusel;

b)

tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane õigusaktist tulenev konfidentsiaalsuskohustus;

c)

aitab vastutaval töötlejal kõigi asjakohaste vahenditega tagada andmesubjekti õigusi käsitlevate sätete järgimine;

d)

pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse isikuandmete säilitamist;

e)

teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesoleva artikli täitmise tõendamiseks;

f)

järgib lõigetes 2 ja 3 osutatud tingimusi teise volitatud töötleja kaasamiseks.

a)

vastutava töötleja, asjakohasel juhul kaasvastutava töötleja ja andmekaitseametniku nimi ja kontaktandmed;

b)

isikuandmete töötlemise eesmärgid;

c)

vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)

andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

e)

asjakohasel juhul profiilianalüüsi kasutamine;

f)

asjakohasel juhul isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise liigid;

g)

teave selle isikuandmete töötlemise toimingu (sealhulgas edastamise) õigusliku aluse kohta, mille jaoks isikuandmed on mõeldud;

h)

võimaluse korral isikuandmete eriliikide kustutamiseks ette nähtud tähtajad;

i)

võimaluse korral artikli 29 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

a)

volitatud töötleja või volitatud töötlejate, kõigi vastutavate töötlejate, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul andmekaitseametniku nimi ja kontaktandmed;

b)

iga vastutava töötleja nimel tehtava töötlemise liigid;

c)

asjakohasel juhul isikuandmete edastamine kolmandale riigile või rahvusvahelisele organisatsioonile, kui vastutav töötleja andis selleks sõnaselge korralduse, sealhulgas andmed kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni tuvastamiseks;

d)

võimaluse korral artikli 29 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

a)

artiklis 27 sätestatud andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohtu leevendamiseks võetavate meetmete puudumise korral suur oht, või

b)

isikuandmete töötlemise laadiga, eelkõige kui kasutatakse uusi tehnoloogiaid, mehhanisme või menetlusi, kaasneb suur oht andmesubjekti õigustele ja vabadustele.

a)

keelata volitamata isikute juurdepääs isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele (töövahenditele juurdepääsu kontroll);

b)

hoida ära andmekandjate loata lugemine, kopeerimine, muutmine või kõrvaldamine (andmekandjate kontroll);

c)

hoida ära isikuandmete loata sisestamine ja säilitatavate isikuandmetega tutvumine, nende muutmine või kustutamine (säilitamise kontroll);

d)

hoida ära automatiseeritud andmetöötlussüsteemi andmesidevahendite abil kasutamine volitamata isikute poolt (kasutajate kontroll);

e)

tagada, et automatiseeritud andmetöötlussüsteemi kasutamise loaga isikutel oleks juurdepääs üksnes nendele isikuandmetele, mida hõlmab nende juurdepääsuluba (juurdepääsukontroll);

f)

tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud või kättesaadavaks tehtud või millistele asutustele võib neid edastada või kättesaadavaks teha (andmeedastuse kontroll);

g)

tagada võimalus hiljem tõendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kelle poolt need sisestati (sisestamise kontroll);

h)

hoida ära isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise ajal (transpordi kontroll);

i)

tagada, et paigaldatud süsteeme on võimalik katkestuse korral taastada (taastamine);

j)

tagada, et süsteem toimib, et selles ilmnevatest toimimisvigadest teatatakse (töökindlus) ja et süsteemirikked ei põhjustaks säilitatavate isikuandmete moonutamist (terviklus).

a)

kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste isikuandmekirjete liigid ja ligikaudne arv;

b)

teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktpunkti nimi ja kontaktandmed;

c)

kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

d)

kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas asjakohasel juhul rikkumise võimaliku kahjuliku mõju leevendamiseks.

a)

vastutav töötleja on rakendanud asjakohaseid tehnoloogilisi ja korralduslikke kaitsemeetmeid ning neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine);

b)

vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu realiseerumine andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline;

c)

see nõuaks ebaproportsionaalset jõupingutust. Sellisel juhul tehakse andmesubjekti teavitamise asemel avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil.

a)

teavitada ja nõustada vastutavat töötlejat ning isikuandmeid töötlevaid töötajaid nende kohustustest, mis tulenevad käesolevast direktiivist ja muudest liidu või liikmesriikide andmekaitsenormidest;

b)

jälgida käesoleva direktiivi, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduva auditeerimist;

c)

anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning valvata selle toimimise järele vastavalt artiklile 27;

d)

teha koostööd järelevalveasutusega;

e)

tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktpunktina, sealhulgas artiklis 28 osutatud eelneva konsulteerimise puhul, ning konsulteerida asjakohasel juhul ka muudes küsimustes.

a)

edastamine on vajalik artikli 1 lõikes 1 sätestatud eesmärkidel;

b)

isikuandmeid edastatakse vastutavale töötlejale kolmandas riigis või rahvusvahelises organisatsioonis, mis on artikli 1 lõikes 1 osutatud eesmärkidel pädev asutus;

c)

juhul kui isikuandmeid edastatakse või tehakse kättesaadavaks teisest liikmesriigist, on kõnealune liikmesriik andnud edastamiseks eelnevalt loa kooskõlas oma siseriikliku õigusega;

d)

komisjon on artikli 36 kohaselt võtnud vastu kaitse piisavuse otsuse või kui sellist otsust ei ole vastu võetud, siis on kehtestatud või võetud artikli 37 kohased piisavad kaitsemeetmed, või kui artikli 36 kohane kaitse piisavuse otsus või 37 kohased piisavad kaitsemeetmed puuduvad, kohaldatakse artikli 38 kohaselt erandeid eriolukordades, ning

e)

andmete edasisaatmise korral muule kolmandale riigile või rahvusvahelisele organisatsioonile annab andmed algselt edastanud pädev asutus või sama liikmesriigi muu pädev asutus loa edasisaatmiseks, olles võtnud nõuetekohaselt arvesse kõiki asjakohaseid tegureid, sealhulgas süüteo raskust, isikuandmete algse edastamise eesmärki ja isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse.

a)

õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, riigikaitset, riiklikku julgeolekut, kriminaalõigust ja riigiasutuste juurdepääsu isikuandmetele, ning kõnealuste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktika ning tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse;

b)

ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja jõustamise eest, sealhulgas piisavate täitmise tagamise volituste eest, ning andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ja

c)

asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega.

a)

isikuandmete kaitseks võetavad asjakohased kaitsemeetmed on sätestatud õiguslikult siduvas aktis või

b)

vastutav töötleja on hinnanud kõiki isikuandmete edastamisega seotud asjaolusid ning leidnud, et võetud on kõik isikuandmete kaitse seisukohalt asjakohased kaitsemeetmed.

a)

andmesubjekti või teise isiku eluliste huvide kaitsmiseks;

b)

andmesubjekti õigustatud huvi kaitsmiseks, kui isikuandmeid edastava liikmesriigi õiguses on niimoodi ette nähtud;

c)

liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks;

d)

üksikjuhtumite korral artikli 1 lõikes 1 sätestatud eesmärkidel või

e)

üksikjuhtumi korral artikli 1 lõikes 1 sätestatud eesmärkidega seotud konkreetsete õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

a)

edastamine on rangelt vajalik edastava pädeva asutuse liidu või liikmesriigi õiguses sätestatud ülesande täitmiseks artikli 1 lõikes 1 sätestatud eesmärkidel;

b)

edastav pädev asutus leiab, et ükski asjaomase andmesubjekti põhiõigus ega -vabadus ei kaalu konkreetse juhtumi puhul üles avalikku huvi, mis teeb vajalikuks edastamise;

c)

edastav pädev asutus leiab, et edastamine kolmanda riigi asutusele, kes on pädev artikli 1 lõikes 1 osutatud eesmärkidel, ei ole tõhus või asjakohane, eelkõige sellepärast, et seda ei ole võimalik teha õigeaegselt;

d)

kolmanda riigi asutust, kes on pädev artikli 1 lõikes 1 osutatud eesmärkidel, teavitatakse põhjendamatu viivituseta, välja arvatud juhul, kui see ei ole tõhus või asjakohane;

e)

edastav pädev asutus teavitab vastuvõtjat konkreetsest eesmärgist või konkreetsetest eesmärkidest, millega seoses viimane isikuandmeid töödelda võib, eeldusel et selline töötlemine on vajalik.

a)

töötada välja rahvusvahelised koostöömehhanismid, millega hõlbustada isikuandmete kaitset käsitlevate õigusaktide tõhusat täitmise tagamist;

b)

osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamisel, kaebuste edasisaatmisel käsitlemiseks, uurimisabi ja teabevahetuse kaudu, järgides asjakohaseid isikuandmete kaitse meetmeid ning muid põhiõigusi ja -vabadusi;

c)

kaasata asjaomased sidusrühmad arutellu ja tegevusse, mille eesmärk on edendada rahvusvahelist koostööd isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;

d)

edendada isikuandmete kaitset käsitlevate õigusaktide ja tavade vahetamist ja dokumenteerimist, sealhulgas kolmandate riikidega kohtualluvust puudutavate lahkarvamuste küsimuses.

—

asjaomase liikmesriigi parlament,

—

asjaomase liikmesriigi valitsus,

—

asjaomase liikmesriigi riigipea või

—

liikmesriigi õiguse kohaselt asjaomaseid liikmeid ametisse nimetama volitatud sõltumatu asutus.

a)

järelevalveasutuse asutamise;

b)

järelevalveasutuse liikme ametisse nimetamiseks nõutava kvalifikatsiooni ja tingimused;

c)

eeskirjad ja menetlused järelevalveasutuse liikmete ametisse nimetamiseks;

d)

järelevalveasutuse liikme või liikmete vähemalt nelja aasta pikkuse ametiaja, välja arvatud pärast 6. maid 2016 esimest korda ametisse nimetamisel, mil osa liikmete ametiaeg võib olla lühem, kui see on vajalik, et kaitsta järkjärgulise ametisse nimetamise abil järelevalveasutuse sõltumatust;

e)

selle, kas ja kui mitmeks ametiajaks saab järelevalveasutuse liiget või liikmeid ametisse tagasi nimetada, ning

f)

tingimused, mis reguleerivad järelevalveasutuse liikme või liikmete ja töötajate kohustusi, nende kohustustega kokkusobimatuid tegevusi, tegevusalasid ja hüvesid ametiajal ja pärast selle lõppu ning töösuhte lõppu käsitlevad normid.

a)

valvata käesoleva direktiivi kohaselt vastu võetud sätete ja direktiivi rakendusmeetmete kohaldamise järele ning nende tagada kohaldamist;

b)

suurendada üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise kohta kehtivatest normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest;

c)

nõustada kooskõlas liikmesriigi õigusega liikmesriigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel;

d)

edendada vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva direktiivi kohastest kohustustest;

e)

anda andmesubjektile taotluse korral teavet tema käesolevast direktiivist tulenevate õiguste teostamise kohta ja teha asjakohasel juhul sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega;

f)

käsitleda andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 55 kohaselt esitatud kaebusi, uurida asjakohasel määral kaebuste sisu ning teavitada kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;

g)

kontrollida isikuandmete töötlemise seaduslikkust vastavalt artiklile 17 ning teavitada andmesubjekti mõistliku aja jooksul artikli 17 lõike 3 kohase kontrollimise tulemusest või kontrolli teostamata jätmise põhjustest;

h)

teha koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet, ja osutada vastastikust abi, et tagada käesoleva direktiivi ühetaoline kohaldamine ja täitmise tagamine;

i)

toimetada uurimisi käesoleva direktiivi kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

j)

jälgida asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja kommunikatsioonitehnoloogia arengut;

k)

anda nõu artiklis 28 osutatud isikuandmete töötlemise toimingute osas ning

l)

anda panus andmekaitsenõukogu tegevusse.

a)

hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesolevat direktiivi;

b)

anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud tähtaja jooksul vastavusse käesoleva direktiiviga, eelkõige nõudes isikuandmete parandamist, kustutamist või isikuandmete töötlemise piiramist vastavalt artiklile 16;

c)

kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas isikuandmete töötlemise keeld.

a)

ta ei ole taotluse sisu või temalt nõutavate meetmete rakendamise küsimuses pädev või

b)

taotluse täitmine rikuks käesolevat direktiivi või taotluse saanud järelevalveasutusele kohaldatava liidu või liikmesriigi õigust.

a)

annab komisjonile nõu liidus isikuandmete kaitse küsimustes, sealhulgas käesoleva direktiivi muutmise ettepanekute kohta;

b)

vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva direktiivi kohaldamist käsitlevaid küsimusi ning annab käesoleva direktiivi järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

c)

koostab järelevalveasutustele suuniseid seoses artikli 47 lõigetes 1 ja 3 osutatud meetmete kohaldamisega;

d)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga b, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 30 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

e)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga b, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tuua tõenäoliselt kaasa suure ohtu füüsiliste isikute õigustele ja vabadustele, nagu on osutatud artikli 31 lõikes 1;

f)

vaatab läbi punktides b ja c osutatud suuniste, soovituste ja parimate tavade praktilise kohaldamise;

g)

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis, territooriumil või ühes või mitmes kolmanda riigi konkreetses sektoris või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas selline kolmas riik, territoorium, kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset;

h)

edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja parimate tavade vahetamist;

i)

edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

j)

edendab teadmiste ja dokumentide vahetamist andmekaitset käsitleva õiguse ja tava kohta andmekaitse järelevalveasutustega kogu maailmas.