4.5.2016   

ET

Euroopa Liidu Teataja

L 119/1

(1)

Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta („harta“) artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu („ELi toimimise leping“) artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

(2)

Füüsiliste isikute kaitse põhimõtete ja eeskirjadega nende isikuandmete töötlemisel tuleks nende kodakondsusest ja elukohast sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Käesoleva määruse eesmärk on aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala ning majandusliidu saavutamisele, majanduslikule ja sotsiaalsele arengule, riikide majanduse tugevdamisele ja lähendamisele siseturul ning füüsiliste isikute heaolule.

(3)

Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ (4) eesmärk on ühtlustada füüsiliste isikute põhiõiguste ja -vabaduste kaitset isikuandmete töötlemise toimingutel ning tagada isikuandmete vaba liikumine liikmesriikide vahel.

(4)

Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, eelkõige õigusest era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, isikuandmete kaitsest, mõtte-, südametunnistuse- ja usuvabadusest, sõna- ja teabevabadusest, ettevõtlusvabadusest, õigusest tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuurilisele, usulisele ja keelelisele mitmekesisusele.

(5)

Siseturu toimimisest tulenev majandus- ja sotsiaalne integratsioon on isikuandmete piiriüleseid andmevoogusid märkimisväärselt suurendanud. Avaliku ja erasektori osalejate, sealhulgas füüsiliste isikute, ühenduste ja ettevõtjate vaheline isikuandmete vahetus on suurenenud kogu liidus. Liikmesriikide ametiasutusi kutsutakse liidu õiguses üles tegema koostööd ja vahetama isikuandmeid, et neil oleks võimalik täita oma ülesandeid või teha seda teise liikmesriigi ametiasutuse nimel.

(6)

Kiire tehnoloogiline areng ja üleilmastumine on tekitanud isikuandmete kaitsel uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab nii era- kui ka avaliku sektori asutustel kasutada isikuandmeid oma tegevuses enneolematus ulatuses. Füüsilise isikud avaldavad isikuandmeid üha avalikumalt ja ülemaailmsemalt. Tehnoloogia on põhjalikult muutnud nii majandust kui ka ühiskondlikku elu ja peaks täiendavalt hõlbustama liidusisest andmete vaba liikumist ning nende kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele edastamist, tagades samal ajal isikuandmete kõrgetasemelise kaitse.

(7)

Nende muudatuste tõttu on liidus vaja tugevat ja ühtsemat andmekaitseraamistikku ning selle täitmise tõhusat tagamist, kuna tähtis on luua usaldus, mis võimaldab digitaalsel majandusel areneda kogu siseturu ulatuses. Füüsiliste isikutel peaks olema kontroll oma isikuandmete üle ning tugevdada tuleks õigus- ja tegelikku kindlust füüsiliste isikute, ettevõtjate ja avaliku sektori asutuste seisukohast.

(8)

Kui käesolevas määruses on ette nähtud eeskirjade täpsustamine või piiramine liikmesriigi õigusega, võivad liikmesriigid sidususe seisukohast vajalikul määral ja liikmesriigi õiguse sätete arusaadavaks muutmiseks isikutele, kelle suhtes neid kohaldatakse, integreerida määruse elemente oma õigusesse.

(9)

Direktiivi 95/46/EÜ eesmärgid ja põhimõtted on endiselt ajakohased, kuid see ei ole ära hoidnud liidus andmekaitse rakendamise killustumist, õiguskindlusetust ega avalikkuses laialt levinud seisukohta, et eelkõige internetiga seonduvad märkimisväärsed ohud füüsiliste isikute kaitsele. Liikmesriikide poolt tagatavate füüsiliste isikute õiguste, eelkõige isikuandmete kaitse õiguse, ja vabaduste kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete liidusisest vaba liikumist. Need erinevused võivad seetõttu takistada liidu tasandi majandustegevust, moonutada konkurentsi ja takistada ametiasutustel täita nende liidu õigusest tulenevaid kohustusi. Erinevused kaitse tasemes tulenevad erinevustest direktiivi 95/46/EÜ rakendamisel ja kohaldamisel.

(10)

Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. Seoses isikuandmete töötlemisega juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks peaks liikmesriikidel olema lubatud säilitada või kehtestada õigusnormid käesoleva määruse eeskirjade kohaldamise täpsustamiseks. Koostoimes andmekaitset käsitlevate üldiste ja horisontaalsete õigusaktidega, millega rakendatakse direktiivi 95/46/EÜ, on liikmesriikidel mitmeid sektoripõhiseid õigusakte valdkondades, mis vajavad spetsiifilisemaid sätted. Samuti nähakse käesoleva määrusega liikmesriikidele ette manööverdamisruum oma eeskirjade, sealhulgas isikuandmete eriliikide töötlemise eeskirjade täpsustamiseks. Sellega seoses ei välista käesolev määrus sellist liikmesriigi õigust, millega määratletakse konkreetsete töötlemisjuhtude asjaolud, sealhulgas määratakse täpsemalt kindlaks tingimused, mille alusel isikuandmete töötlemine on seaduslik.

(11)

Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides.

(12)

ELi toimimise lepingu artikli 16 lõikes 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama eeskirju füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega, samuti selliste andmete vaba liikumist käsitlevaid eeskirju.

(13)

Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö. Siseturu nõuetekohaseks toimimiseks on vaja, et isikuandmete vaba liikumist liidus ei piirataks ega keelataks põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel. Et võtta arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erilist olukorda, on käesolevas määruses ette nähtud erand andmete kogumisele kuni 250 töötajaga ettevõtete poolt. Lisaks kutsutakse liidu institutsioone ja asutusi, liikmesriike ja nende järelevalveasutusi üles võtma käesoleva määruse kohaldamisel arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi. Mikro-, väikeste ja keskmise suurusega ettevõtjate määratlus peaks tuginema komisjoni soovituse 2003/361/EÜ (5) lisa artiklile 2.

(14)

Käesoleva määrusega pakutav kaitset peaks rakendama füüsilistele isikutele nende isikuandmete töötlemisel, olenemata nende kodakondsusest või elukohast. Ükski isik ei peaks nõudma käesoleva määrusega ette nähtud kaitset seoses selliste andmete töötlemisega, mis puudutavad juriidilisi isikuid, eelkõige juriidiliste isikutena asutatud ettevõtjaid, sealhulgas juriidilise isiku nime ja vormi ning kontaktandmeid.

(15)

Selleks et vältida normide täitmisest kõrvalehoidumise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest. Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva määruse kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole teatavate kriteeriumide kohaselt korrastatud, ega nende esilehed.

(16)

Käesolevas määruses ei käsitleta põhiõiguste ja -vabaduste kaitse küsimusi ega andmete vaba liikumist, mis on seotud väljapoole liidu õiguse kohaldamisala jääva tegevusega, näiteks riigi julgeolekut puudutava tegevusega, ega isikuandmete töötlemist liikmesriikide poolt liidu ühise välis- ja julgeolekupoliitikaga seonduva tegevuse läbiviimisel.

(17)

Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 45/2001 (6) kohaldatakse isikuandmete töötlemisele liidu institutsioonide, organite ja asutuste poolt. Määrust (EÜ) nr 45/2001 ja muid sellisele isikuandmete töötlemise suhtes kohaldatavaid liidu õigusakte tuleks kohandada vastavalt käesoleva määrusega kehtestatud põhimõtetele ja normidele ning kohaldada käesolevast määrusest lähtuvalt. Tugeva ja ühtse andmekaitseraamistiku loomiseks liidus tuleks pärast käesoleva määruse vastuvõtmist teha määruses (EÜ) nr 45/2001 vajalikud muudatused, et võimaldada käesoleva määrusega samaaegset kohaldamist.

(18)

Käesolevat määrust ei tuleks kohaldada isikuandmete töötlemise suhtes, mida füüsiline isik teostab eranditult isiklikel või kodustel eesmärkidel ja seega väljaspool ametialast või äritegevust. Isiklik ja kodune tegevus võiks hõlmata kirjavahetust ja aadresside loetelu või tegevust suhtlusvõrgustikes ja internetis, mida tehakse sellise isikliku või koduse tegevuse raames. Käesolevat määrust tuleks aga kohaldada vastutavate töötlejate või volitatud töötlejate suhtes, kes pakuvad isikuandmete isiklikel või kodustel eesmärkidel töötlemise vahendeid.

(19)

Füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil ning selliste andmete vaba liikumist käsitletakse eraldiseisvas liidu tasandi õigusaktis. Seetõttu ei tuleks käesolevat määrust kohaldada nimetatud eesmärkidel teostatavate isikuandmete töötlemise toimingute suhtes. Avaliku sektori asutuste poolt käesoleva määruse alusel töödeldavaid andmeid, kui neid kasutatakse kõnealustel eesmärkidel, tuleks aga reguleerida konkreetsema liidu tasandi õigusaktiga Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680 (7). Liikmesriigid võivad anda pädevatele asutustele direktiivi (EL) 2016/680 tähenduses muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, käesoleva määruse kohaldamisalasse.

Nende pädevate asutuste poolt käesoleva määruse kohaldamisalasse kuuluvatel eesmärkidel teostatava isikuandmete töötlemise suhtes võivad liikmesriigid käesoleva määruse eeskirjade kohaldamise kohandamiseks säilitada või kehtestada konkreetsemad sätted. Selliste sätetega võib määratleda täpsemalt konkreetsed nõuded nende pädevate asutuste poolt teostatavale isikuandmete töötlemisele neil muudel eesmärkidel, võttes arvesse vastava liikmesriigi põhiseaduslikku, organisatsioonilist ja haldusstruktuuri. Kui isikuandmete töötlemine eraõiguslike asutuste poolt kuulub käesoleva määruse kohaldamisalasse, tuleks käesolevas määruses ette näha võimalus, et liikmesriigid saavad teatud tingimustel piirata õigusaktidega teatud kohustusi ja õigusi, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et kaitsta konkreetseid olulisi huve, sealhulgas avalik julgeolek ning süütegude tõkestamine, uurimine ja avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja ennetamine. See on asjakohane näiteks rahapesuvastaste meetmete või kohtuekspertiisi laborite tegevuse raames.

(20)

Kui käesolevat määrust kohaldatakse muu hulgas kohtute ja muude õigusasutuste tegevuse suhtes, võiks liidu või liikmesriigi õiguses täpsustada isikuandmete töötlemise toimingud ja -menetlused, mis on seotud isikuandmete töötlemisega kohtute ja muude õigusasutuste poolt. Kohtusüsteemi sõltumatuse kaitsmiseks kohtumenetlusega seotud ülesannete täitmisel, sealhulgas otsusetegemisel, ei peaks järelevalveasutuste pädevus hõlmama isikuandmete töötlemist juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni. Selliste andmetöötlustoimingute järelevalve peaks olema võimalik teha ülesandeks liikmesriigi kohtusüsteemi konkreetsetele asutustele, kes peaksid eelkõige tagama käesoleva määruse eeskirjade järgimise, teavitama kohtunikke nende käesoleva määruse kohastest kohustustest ning käsitlema selliste andmetöötlusega seotud toimingute suhtes esitatud kaebusi.

(21)

Käesolevat määrust kohaldatakse, ilma et see piiraks Euroopa Parlamendi ja nõukogu direktiivi 2000/31/EÜ (8), eelkõige selle artiklites 12–15 sätestatud vahendusteenuste osutajate vastutust käsitlevate eeskirjade kohaldamist. Nimetatud direktiiviga püütakse kaasa aidata siseturu nõuetekohasele toimimisele, tagades infoühiskonna teenuste vaba liikumise liikmesriikide vahel.

(22)

Liidus paikneva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames tuleks töödelda isikuandmeid vastavalt käesolevale määrusele, sõltumata sellest, kas töödeldakse liidus või mitte. Tegevuskoht eeldab tegelikku ja tulemuslikku tegutsemist ning püsivat korda. Sellise korra õiguslik vorm (kas filiaali või juriidilisest isikust tütarettevõtja kaudu) ei ole selles osas määrav.

(23)

Selle tagamiseks, et füüsilise isikud ei jää ilma kaitsest, millele neil on õigus käesoleva määruse alusel, tuleks käesolevat määrust kohaldada väljaspool liitu asuva vastutava töötleja või volitatud töötleja poolt liidus olevate andmesubjektide isikuandmete töötlemise suhtes, kui isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega kõnealustele andmesubjektidele, sõltumata sellest, kas see on seotud maksega või mitte. Selleks et määrata kindlaks, kas selline vastutav töötleja või volitatud töötleja pakub liidus olevatele andmesubjektidele kaupu või teenuseid, tuleks kontrollida, kas on ilmne, et vastutav töötleja kavatseb pakkuda teenuseid ühe või mitme liidu liikmesriigi andmesubjektidele. Kuna üksnes juurdepääs vastutava või volitatud töötleja või vahendaja veebisaidile liidus, e-posti aadressile või muudele kontaktandmetele või vastutava töötleja asukohariigiks olevas kolmandas riigis üldiselt kasutatava keele kasutus ei ole piisav sellise kavatsuse kindlaks tegemiseks, võivad sellised tegurid nagu ühes või mitmes liikmesriigis üldiselt kasutatava keele või vääringu kasutus ning võimalus tellida kaupu ja teenuseid selles teises keeles ja/või liidus olevate klientide või kasutajate nimetamine muuta ilmseks asjaolu, et vastutav töötleja kavatseb pakkuda liidus sellistele andmesubjektidele kaupu või teenuseid.

(24)

Käesolevat määrust tuleks kohaldada ka liidu territooriumil olevate andmesubjektide isikuandmete töötlemisele mujal kui liidus asuva vastutava töötleja või volitatud töötleja poolt, kui see on seotud selliste andmesubjektide käitumise jälgimisega niivõrd, kuivõrd see käitumine toimub liidus. Selleks et teha kindlaks, kas isikuandmete töötlemise toimingut võib pidada andmesubjekti käitumise jälgimiseks, tuleks selgitada välja, kas füüsilist isikut jälgitakse internetis, sealhulgas selliste andmetöötlusmeetodite võimaliku kasutamisega, mis hõlmavad füüsilise isiku profiilianalüüsi eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid.

(25)

Kui liikmesriigi õigust kohaldatakse rahvusvahelise avaliku õiguse alusel, tuleks käesolevat määrust kohaldada ka väljaspool liitu asuva vastutava töötleja, näiteks liikmesriigi diplomaatilise või konsulaaresinduse suhtes.

(26)

Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes. Pseudonümiseeritud andmeid, mida saaks füüsilise isikuga seostada täiendava teabe abil, tuleks käsitada teabena tuvastatava füüsilise isiku kohta. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogilisi arenguid. Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, nimelt teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada. Käesolevas määruses ei käsitleta seega sellise anonüümse teabe töötlemist, sealhulgas statistilisel või uuringute eesmärgil.

(27)

Käesolevat määrust ei kohaldata surnuid puudutavate isikuandmete suhtes. Liikmesriikidel peaks olema võimalik ette näha surnuid puudutavate isikuandmete töötlemise eeskirjad.

(28)

Isikuandmete pseudonümiseerimine võib vähendada asjaomaste andmesubjektide jaoks ohte ning aidata vastutavatel töötlejatel ja volitatud töötlejatel täita oma andmekaitsekohustusi. „Pseudonümiseerimise“ selgesõnaline kasutuselevõtmine käesolevas määruses ei ole mõeldud välistama mis tahes muid andmekaitsemeetmeid.

(29)

Selleks et luua stiimuleid pseudonümiseerimise kasutamiseks isikuandmete töötlemisel, peaks samal vastutaval töötlejal olema võimalik kasutada pseudonümiseerimismeetmeid, mis võimaldavad samal ajal üldist analüüsi, kui vastutav töötleja on võtnud tehnilised ja korralduslikud meetmed, mis on vajalikud, et tagada asjaomase andmetöötluse tegemisel käesoleva määruse rakendamine, ning sellise täiendava teabe, mis võimaldab isikuandmeid seostada konkreetse andmesubjektiga, eraldi hoidmise. Andmeid töötlev vastutav töötleja peaks tähendama sama vastutava töötleja volitatud isikuid.

(30)

Füüsilisi isikuid võib seostada nende seadmete, rakenduste, tööriistade ja protokollide jagatavate võrguidentifikaatoritega, näiteks IP-aadresside või küpsistega, või muude identifikaatoritega, näiteks raadiosagedustuvastuse kiipidega. See võib jätta jälgi, mida võidakse kasutada füüsiliste isikute profileerimiseks ja nende tuvastamiseks, eelkõige juhul, kui neid kombineeritakse serveritesse saabuvate kordumatute identifikaatorite ja muu teabega.

(31)

Avaliku sektori asutusi, kellele avaldatakse isikuandmeid vastavalt juriidilisele kohustusele täita oma ametiülesandeid, näiteks maksu- ja tolliasutused, finantsuurimisüksused, sõltumatud haldusasutused või finantsturuasutused, kes vastutavad väärtpaberiturgude reguleerimise ja järelevalve eest, ei peaks pidama vastuvõtjateks, kui nad saavad isikuandmeid, mida vajatakse üldistes huvides konkreetse päringu tegemiseks kooskõlas liidu või liikmesriigi õigusega. Avaliku sektori asutuste saadetavad andmete avaldamise taotlused peaksid olema alati kirjalikud, põhjendatud ja juhtumipõhised ning need ei tohiks puudutada kogu andmete kogumit või põhjustada andmete kogumite omavahelist ühendamist. Kõnealused avaliku sektori asutused peaksid selliseid isikuandmeid töötlema kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele.

(32)

Nõusolek tuleks anda selge kinnitusena, näiteks kirjaliku kinnituse vormis, sealhulgas elektroonilisel teel, või suulise avaldusena, millega andmesubjekt annab vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt nõusoleku teda puudutavate isikuandmete töötlemiseks. See võiks hõlmata vajaliku lahtri märgistamist veebisaidil, infoühiskonna teenuste tehniliste seadmete valimist või muud avaldust või käitumist, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek teda puudutavate isikuandmete kavandatavaks töötlemiseks. Vaikimist, eelnevalt märgistatud lahtreid või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Kui töötlemisel on mitu eesmärki, tuleks nõusolek anda kõigi nende kohta. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik ning mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse.

(33)

Sageli ei ole isikuandmete kogumise ajal võimalik täielikult kindlaks määrata teadusuuringute eesmärgil toimuva andmetöötluse eesmärki. Seetõttu peaks andmesubjektidel olema võimalik anda oma nõusolek teatavates teadusuuringuvaldkondades, kui järgitakse teadusuuringuvaldkonna tunnustatud eetikanorme. Andmesubjektidel peaks olema võimalik anda oma nõusolek üksnes teatavatele teadusuuringuvaldkondadele või teadusprojektide osadele kavandatud eesmärgiga lubatud ulatuses.

(34)

Geneetilised andmed tuleks määratleda füüsilise isiku päritud või omandatud geneetiliste omadustega isikuandmetena, mis on saadud asjaomase füüsilise isiku bioloogilise proovi analüüsist, eelkõige kromosoom-, desoksüribonukleiinhappe (DNA) või ribonukleiinhappe (RNA) analüüsist või muu elemendi analüüsist, mis võimaldab saada samaväärset teavet.

(35)

Tervisealaste isikuandmete hulka peaksid kuuluma kõik andmesubjekti tervislikku seisundit käsitlevad andmed, mis annavad teavet andmesubjekti endise, praeguse või tulevase füüsilise või vaimse tervise kohta. See hõlmab teavet füüsilise isiku kohta, mis on kogutud füüsilisele isikule tervishoiuteenuste registreerimise või osutamise käigus, nagu on osutatud Euroopa Parlamendi ja nõukogu direktiivis 2011/24/EL (9); numbrit, tähist või eritunnust, mis on füüsilisele isikule määratud tema kordumatuks tuvastamiseks tervishoiuga seotud eesmärkidel; teavet, mis on saadud mingi kehaosa või kehast pärineva aine, sealhulgas geneetiliste andmete ja bioloogiliste proovide kontrollimise või uurimise tulemusena; ja teavet teave näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi või andmesubjekti füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata sellest, kas andmete allikaks on näiteks arst või muu tervishoiutöötaja, haigla, meditsiiniseade või in vitro diagnostika.

(36)

Vastutava töötleja peamine tegevuskoht liidus peaks olema tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja mujal liidus asuvas tegevuskohas. Sellisel juhul tuleks nimetatud muud tegevuskohta pidada peamiseks tegevuskohaks. Vastutava töötleja peamine tegevuskoht liidus tuleks kindlaks määrata objektiivsete kriteeriumide alusel ning see peaks eeldama püsiva korra alusel läbi viidavat tegelikku ja tulemuslikku juhtimistegevust töötlemise eesmärki ja vahendeid käsitlevate peamiste otsuste vastuvõtmisel. See kriteerium ei tohiks sõltuda sellest, kas isikuandmeid töödeldakse kõnealuses kohas. Isikuandmete töötlemise või isikuandmete töötlemise toimingute teostamise tehniliste vahendite ja tehnoloogia olemasolu ja kasutamine iseenesest ei kujuta endast sellist peamist tegevuskohta, seega ei ole need peamise tegevuskoha määravad kriteeriumid. Volitatud töötleja peamine tegevuskoht peaks olema tema juhatuse asukoht liidus või, kui tal ei ole liidus juhatuse asukohta, see koht, kus sooritatakse peamised isikuandmete töötlemise toimingud liidus. Juhul kui kaasatud on nii vastutav töötleja kui ka volitatud töötleja, peaks pädevaks juhtivaks järelevalveasutuseks jääma selle liikmesriigi järelevalveasutus, kus asub vastutava töötleja peamine tegevuskoht, kuid volitatud töötleja järelevalveasutust tuleks käsitada asjaomase järelevalveasutusena ja nimetatud järelevalveasutus peaks osalema käesolevas määruses sätestatud koostöömenetluses. Kui otsuse eelnõu puudutab ainult vastutavat töötlejat, ei tuleks selle liikmesriigi või nende liikmesriikide järelevalveasutusi, kus asub volitatud töötleja üks või mitu tegevuskohta, käsitada ühelgi juhul asjaomaste järelevalveasutustena. Kui andmeid töötleb kontsern, siis tuleks kontserni peamiseks tegevuskohaks lugeda kontrolliva ettevõtja peamist tegevuskohta, välja arvatud juhul, kui töötlemise eesmärgi ja vahendid määrab kindlaks teine ettevõtja.

(37)

Kontsern peaks hõlmama kontrollivat ettevõtjat ja tema kontrolli all olevaid ettevõtjaid, kusjuures kontrolliv ettevõtja peaks saama kasutada teiste ettevõtjate üle valitsevat mõju näiteks omanikuna, rahalise osaluse kaudu, põhikirja alusel või volituse kaudu rakendada isikuandmete kaitse norme. Ettevõtjat, kes kontrollib isikuandmete töötlemist temaga seotud ettevõtjate puhul, tuleks vaadelda koos nende ettevõtjatega ühe kontsernina.

(38)

Laste isikuandmed väärivad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud asjaomastest ohtudest, tagajärgedest ja kaitsemeetmetest ning oma õigustest seoses isikuandmete töötlemisega. Niisugune eriline kaitse peaks eelkõige rakenduma laste isikuandmete kasutamisel turunduse eesmärgil või isiku või kasutajaprofiili loomiseks ja laste isikuandmete kogumisel otse lastele pakutavate teenuste kasutamise puhul. Vanemliku vastutuse kandja nõusolekut ei peaks olema vaja seoses lapsele otse pakutavate ennetavate või nõustamisteenustega.

(39)

Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane. Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema nende jaoks läbipaistev. Läbipaistvuse põhimõte eeldab, et nende isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Kõnealune põhimõte puudutab eelkõige andmesubjektide teavitamist vastutava töötleja identiteedist ning töötlemise eesmärgist ja täiendavast teabest, et tagada asjaomaste füüsiliste isikute suhtes õiglane ja läbipaistev töötlemine ning nende õigus saada neid puudutavate isikuandmete töötlemise kohta kinnitust ja sõnumeid. Füüsilisi isikuid tuleks teavitada isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad sellise andmete töötlemisega seoses oma õigusi kasutada. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata andmete kogumise ajal. Isikuandmed peaksid olema asjakohased, piisavad ja piirduma sellega, mis on nende töötlemise otstarbe seisukohalt vajalik. See eeldab eelkõige, et tagatakse andmete säilitamise aja piirdumine rangelt minimaalsega. Isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. Selle tagamiseks, et isikuandmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või perioodiliseks läbivaatamiseks. Selle tagamiseks, et ebaõiged isikuandmed parandatakse või kustutatakse, tuleks võtta kõik mõistlikud meetmed. Isikuandmeid tuleks töödelda viisil, mis tagab isikuandmete asjakohase turvalisuse ja konfidentsiaalsuse, sealhulgas isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamise tõkestamise.

(40)

Töötlemise seaduslikkuse tagamiseks tuleks isikuandmeid töödelda asjaomase andmesubjekti nõusolekul või muul õiguslikul alusel, mis on sätestatud õigusaktis, kas käesolevas määruses või käesolevas määruses osutatud muus liidu või liikmesriigi õigusaktis, sealhulgas siis, kui vastutav töötleja peab täitma talle kehtivaid juriidilisi kohustusi või kui tuleb täita lepingut, mille osaline andmesubjekt on, või selleks, et võtta andmesubjekti taotlusel enne lepingu sõlmimist meetmeid.

(41)

Kui käesolevas määruses osutatakse õiguslikule alusele või seadusandlikule meetmele, ei pea selleks tingimata olema parlamendi poolt vastu võetud seadusandlik akt, ilma et see piiraks asjaomase liikmesriigi põhiseaduslikust korrast tulenevate nõuete kohaldamist. Selline õiguslik alus või seadusandlik meede peaks siiski olema selge ja täpne ning selle kohaldamine peaks olema eeldatav isikute jaoks, kelle suhtes seda kohaldatakse vastavalt Euroopa Liidu Kohtu („Euroopa Kohus“) ja Euroopa Inimõiguste Kohtu praktikale.

(42)

Kui töödeldakse andmesubjekti nõusolekul, peaks vastutav töötleja suutma tõestada, et andmesubjekt on andnud isikuandmete töötlemise toiminguks oma nõusoleku. Eelkõige muid küsimusi käsitleva kirjaliku avalduse puhul tuleks kaitsemeetmetega tagada, et andmesubjekt on teadlik nõusoleku andmisest ja nõusoleku andmise ulatusest. Kooskõlas nõukogu direktiiviga 93/13/EMÜ (10) peaks vastutava töötleja poolt ette valmistatud nõusolekuavaldus olema arusaadav ja lihtsasti kättesaadav, selles tuleks kasutada selget ja lihtsat keelt ning selles ei tohiks olla ebaõiglaseid tingimusi. Teadliku nõusoleku andmiseks peaks andmesubjekt olema teadlik vähemalt sellest, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. Nõusolekut ei tohiks lugeda vabatahtlikult antuks, kui andmesubjektil pole tõelist või vaba valikuvõimalust või ta ei saa kahjulike tagajärgedeta nõusoleku andmisest keelduda või seda tagasi võtta.

(43)

Selle tagamiseks, et nõusolek on antud vabatahtlikult, ei tohiks nõusolek anda isikuandmete töötlemiseks kehtivat õiguslikku alust konkreetsel juhul, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras, eriti juhul kui vastutav töötleja on avaliku sektori asutus, ning seega on ebatõenäoline, et nõusolek anti selle konkreetse olukorra kõigi asjaolude puhul vabatahtlikult. Nõusolekut ei loeta vabatahtlikuks, kui ei ole võimalik anda erinevatele isikuandmete töötlemise toimingutele eraldi nõusolekut, ehkki see on üksikutel juhtudel asjakohane, või kui lepingu täitmine, sealhulgas teenuse osutamine, on pandud sõltuma sellisest nõusolekust, ehkki see ei ole lepingu täitmiseks vajalik.

(44)

Töötlemine tuleks lugeda seaduslikuks juhul, kui see on vajalik seoses lepinguga või on tehtud lepingu sõlmimise kavatsusega.

(45)

Kui töödeldakse vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks, peaks töötlemise alus olema sätestatud liidu või liikmesriigi õigusaktis. Käesolevas määruses ei nõuta iga üksiku isikuandmete töötlemise toimingu reguleerimiseks eraldi õigusakti. Piisata võib õigusaktist, mille alusel tehakse mitu isikuandmete töötlemise toimingut vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks. Samuti peaks töötlemise eesmärk olema kindlaks määratud liidu või liikmesriigi õigusaktis. Lisaks võiks nimetatud õigusaktis olla sätestatud käesoleva määruse üldtingimused, millega reguleeritakse isikuandmete töötlemise seaduslikkust, kehtestatakse tingimused vastutava töötleja kindlaksmääramiseks, töötlemisele kuuluvate isikuandmete liik, asjaomased andmesubjektid, üksused, kellele võib andmeid avaldada, eesmärgi piirangud, säilitamise aeg ja muud meetmed seadusliku ja õiglase töötlemise tagamiseks. See, kas avaliku huvi või avaliku võimu teostamisega seotud ülesannet täitev vastutav töötleja peaks olema avaliku sektori asutus või muu avalik-õiguslik või eraõiguslik füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata liidu õiguses või kui see on avalikust huvist lähtuvalt põhjendatud, sealhulgas tervishoiuga seotud eesmärkidel, nagu rahvatervis ja sotsiaalkaitse ning tervishoiuteenuste juhtimine, siis liikmesriigi õiguses.

(46)

Isikuandmete töötlemist tuleks pidada seaduslikuks ka siis, kui see on vajalik andmesubjekti või muu füüsilise isiku eluliste huvide kaitsmiseks. Muu füüsilise isiku eluliste huvide alusel saaks isikuandmeid põhimõtteliselt töödelda üksnes siis, kui töötlemist ei saa ilmselgelt teostada muul õiguslikul alusel. Mõnda liiki isikuandmetöötlus võib teenida nii kaalukaid avalikke huve kui ka andmesubjekti elulisi huve, näiteks juhul, kui töötlemine on vajalik humanitaareesmärkidel, sealhulgas epideemia ja selle leviku jälgimiseks, või humanitaarhädaolukordades, eriti loodusõnnetuste ja inimtegevusest tingitud õnnetuste korral.

(47)

Töötlemise õiguslikuks aluseks võib olla vastutava töötleja (sealhulgas sellise vastutava töötleja, kellele võidakse isikuandmeid avaldada, või kolmanda isiku) õigustatud huvi, tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, võttes arvesse andmesubjekti mõistlikke ootusi, mis põhinevad tema suhtel vastutava töötlejaga. Selline õigustatud huvi võib olemas olla näiteks siis, kui andmesubjekti ja vastutava töötleja vahel on asjakohane ja sobiv suhe, näiteks kui andmesubjekt on vastutava töötleja klient või töötab tema teenistuses. Igal juhul tuleks õigustatud huvi olemasolu hoolikalt hinnata, sealhulgas seda, kas andmesubjekt võib andmete kogumise ajal ja kontekstis mõistlikkuse piires eeldada, et isikuandmeid võidakse sellel otstarbel töödelda. Andmesubjekti huvid ja põhiõigused võivad olla vastutava töötleja huvidest tähtsamad eelkõige juhul, kui isikuandmeid töödeldakse olukorras, kus andmesubjektil ei ole mõistlik eeldada edasist töötlemist. Arvestades, et avaliku sektori asutuste jaoks peab isikuandmete töötlemise õigusliku aluse kehtestama seadusandja õigusaktiga, ei tohiks töötlemise puhul kohaldada sellist õiguslikku alust, mida avaliku sektori asutused teostavad oma ülesannete täitmiseks. Pettuste vältimiseks rangelt vajalik isikuandmete töötlemine on samuti asjaomase vastutava töötleja õigustatud huvi. Isikuandmete töötlemist otseturunduse eesmärgil võib lugeda õigustatud huviga töötlemiseks.

(48)

Vastutavatel töötlejatel, kes on osa kontsernist või keskasutusega seotud institutsioonist, võib olla õigustatud huvi edastada isikuandmeid kontserni piires sisehalduse eesmärkidel, sealhulgas klientide või töötajate isikuandmete töötlemine. Kontserni piires kolmandas riigis asuvale ettevõtjale isikuandmete edastamise üldpõhimõtted jäävad samaks.

(49)

Isikuandmete töötlemine sellisel määral, mis on rangelt vajalik ja proportsionaalne võrgu- ja infoturbe (s.o võrgu või infosüsteemi võime kaitsta end teatava kindlusega õnnetuste või ebaseadusliku või pahatahtliku tegevuse eest, mis seavad ohtu salvestatud või edastatud isikuandmete kättesaadavuse, autentsuse, terviklikkuse ja konfidentsiaalsuse ning nende võrkude ja süsteemide poolt pakutavate või nende kaudu juurdepääsetavate seotud teenuste turvalisuse) tagamiseks avaliku sektori asutuste, infoturbeintsidentidega tegelevate rühmade (CERT), arvutiturbe juhtumitele reageerimise rühmade (CSIRT), elektroonilise side võrkude ja teenuste pakkujate ning turvatehnoloogiate ja -teenuste pakkujate poolt, kujutab endast asjaomase vastutava töötleja õigustatud huvi. See võib näiteks hõlmata elektroonilise side võrkudele loata juurdepääsu ja ründekoodi levitamise takistamist ning teenusetõkestamise rünnete ja arvuti- ja elektroonilise side süsteemide kahjustamise peatamist.

(50)

Isikuandmete töötlemine muudel eesmärgil kui need, milleks isikuandmed algselt koguti, peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks isikuandmed algselt koguti. Sellisel juhul ei ole nõutav, et õiguslik alus oleks erinev õiguslikust alusest, mis võimaldas isikuandmete kogumist. Kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, võib liidu või liikmesriigi õiguses kindlaks määrata ja täpsustada need ülesanded ja eesmärgid, mille puhul tuleks pidada edasist töötlemist eesmärkidele vastavaks ja seaduslikuks. Edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil tuleks käsitada eesmärkidele vastavate seaduslike isikuandmete töötlemise toimingutena. Liidu või liikmesriigis õiguses sätestatud õiguslik alus isikuandmete töötlemiseks võib olla ka edasise töötlemise õiguslikuks aluseks. Selleks et teha kindlaks, kas edasise töötlemise eesmärk vastab eesmärgile, mille jaoks isikuandmed algselt koguti, peaks vastutav töötleja võtma pärast kõikide esialgse töötlemise seaduslikkuse seisukohast vajalike nõuete täitmist muu hulgas arvesse mis tahes seoseid sellise eesmärgi ja kavandatava edasise töötlemise eesmärgi vahel, isikuandmete kogumise konteksti, eelkõige andmesubjekti ja vastutava töötleja vahelisel suhtel põhinevaid andmesubjekti mõistlikke ootusi andmete edasise kasutamise suhtes, isikuandmete laadi, kavandatava edasise töötlemise tagajärgi andmesubjekti jaoks ning asjakohaste kaitsemeetmete olemasolu nii esialgsetes kui ka kavandatavates edasistes isikuandmete töötlemise toimingutes.

Kui andmesubjekt on andnud nõusoleku või kui töötlemine põhineb liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, millega kaitsta eelkõige üldist avalikku huvi pakkuvaid olulisi eesmärke, peaks vastutaval töötlejal olema lubatud isikuandmeid edasi töödelda, olenemata eesmärkidele vastavusest. Igal juhul tuleks tagada käesolevas määruses sätestatud põhimõtete kohaldamine ja eelkõige andmesubjekti teavitamine kõnealustest muudest eesmärkidest ja tema õigustest, sealhulgas õigusest esitada vastuväiteid. Seda, et vastutav töötleja teatab võimalikest süütegudest või avalikku julgeolekut ähvardavatest ohtudest ning edastab sama kuriteoga või avalikku julgeolekut ähvardavate ohtudega seotud üksikjuhtumi või mitme juhtumi korral asjakohased isikuandmed pädevale asutusele, tuleks pidada vastutava töötleja õigustatud huvides olevaks. Selline edastamine vastutava töötleja õigustatud huvides või isikuandmete edasine töötlemine peaks aga olema keelatud, kui töötlemine ei ühildu õigusliku, kutsealase või muu siduva saladuste hoidmise kohustusega.

(51)

Sellist laadi isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada. Need isikuandmed peaksid hõlmama ka niisuguseid isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas määruses ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu. Fotode töötlemist ei peaks süstemaatiliselt käsitlema isikuandmete eriliikide töötlemisena, kuna need on hõlmatud üksnes biomeetriliste andmete määratlusega, kui neid töödeldakse konkreetsete tehniliste vahenditega, mis võimaldavad füüsilist isikut kordumatult tuvastada või autentida. Selliseid isikuandmeid ei tohiks töödelda, välja arvatud käesolevas määruses sätestatud konkreetsetel juhtudel, kui töötlemine on lubatud, võttes arvesse seda, et liikmesriikide õiguses võib kehtestada konkreetseid andmekaitse-eeskirju, et kohandada käesoleva määruse eeskirjade kohaldamist juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Lisaks sellise töötlemise erinõuetele tuleks kohaldada käesoleva määruse üldpõhimõtteid ja muid eeskirju, eelkõige seoses seadusliku töötlemise tingimustega. Erandid selliste isikuandmete eriliikide töötlemise üldisest keelust peaksid olema sõnaselgelt sätestatud, muu hulgas, kui andmesubjekt annab selleks oma selgesõnalise nõusoleku, või konkreetse vajaduse korral, eelkõige juhul, kui töödeldakse teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.

(52)

Isikuandmete eriliikide töötlemise keelust peaks olema lubatud kõrvale kalduda ka juhul, kui see on sätestatud liidu või liikmesriigi õiguses, ja eeldusel, et kehtestatakse asjakohased kaitsemeetmed, et kaitsta isikuandmeid ja muid põhiõigusi, kui see on avalikes huvides, eelkõige isikuandmete töötlemine tööõiguse, sotsiaalkaitseõiguse, sealhulgas pensionide valdkonnas ning terviseturbe, -seire ja hoiatamisega seotud eesmärkidel, nakkushaiguste ennetamine ja tõrje ning muud tõsised terviseohud. Sellise erandi võib teha tervisega seotud eesmärkidel, sealhulgas rahvatervise ja tervishoiuteenuste korraldamise valdkonnas, eelkõige selleks, et tagada tervisekindlustussüsteemis hüvitisi ja teenuseid puudutavate nõuete rahuldamiseks kasutatavate menetluste kvaliteet ja kulutasuvus, või avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Erand peaks võimaldama selliste isikuandmete töötlemist ka siis, kui see on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks sõltumata sellest, kas see toimub kohtumenetluse, haldusmenetluse või kohtuvälise menetluse raames.

(53)

Tugevamat kaitset väärivate isikuandmete eriliike tuleks töödelda üksnes tervisega seotud eesmärkidel, kui need eesmärgid on vaja saavutada füüsiliste isikute ja kogu ühiskonna hüvanguks, eelkõige tervishoiu- või sotsiaalhoolekandeteenuste ja -süsteemide juhtimise kontekstis, sealhulgas selliste andmete töötlemisel juhtkonna ja kesksete riiklike terviseasutuste poolt sellistel eesmärkidel nagu kvaliteedikontroll, juhtimisteave ning tervishoiu- või sotsiaalhoolekandesüsteemi üldine riiklik ja kohalik järelevalve ning tervishoiu või sotsiaalhoolekande järjepidevuse ja piiriülese tervishoiu või terviseturbe tagamine, seire ja hoiatamise eesmärkidel või avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil liidu või liikmesriigi õiguse alusel, mis peab vastama avalikule huvile, ning rahvatervise valdkonnas avalikust huvist lähtuvalt tehtud uuringute jaoks. Seetõttu tuleks käesolevas määruses ette näha ühtsed tervisealaste isikuandmete eriliikide töötlemise tingimused konkreetsete vajaduste osas, eelkõige juhul, kui selliseid andmeid töötlevad teatavatel tervishoiuga seotud eesmärkidel isikud, kellel on juriidiline kohustus hoida ametisaladust. Liidu või liikmesriigi õiguses tuleks ette näha konkreetsed ja sobivad meetmed, et kaitsta füüsiliste isikute põhiõigusi ja isikuandmeid. Liikmesriikidel peaks olema lubatud säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses geneetiliste, biomeetriliste või terviseandmete töötlemisega. See ei tohiks aga takistada isikuandmete vaba liikumist liidus, kui neid tingimusi kohaldatakse selliste andmete piiriülese töötlemise suhtes.

(54)

Isikuandmete eriliike võib olla vaja töödelda avalikes huvides rahvatervisega seotud valdkondades ilma andmesubjekti nõusolekuta. Sellisel töötlemisel tuleks kohaldada sobivaid ja konkreetseid meetmeid, et kaitsta füüsiliste isikute õigusi ja vabadusi. Selles kontekstis tuleks mõistet „rahvatervis“ tõlgendada vastavalt Euroopa Parlamendi ja nõukogu määrusele (EÜ) nr 1338/2008 (11), mille kohaselt rahvatervis on kõik tervisega seotud asjaolud, nimelt tervislik seisund, sealhulgas haigestumus ja puuded, tervislikku seisundit mõjutavad tegurid, tervishoiualased vajadused, tervishoiule eraldatud vahendid, tervishoiuteenuse osutamine ja selle üldine kättesaadavus, samuti kulutused tervishoiule ja selle rahastamine ning suremuse põhjused. Sellise terviseandmete avalikes huvides töötlemise tulemusel ei tohiks isikuandmeid muudel eesmärkidel töödelda kolmandad isikud, näiteks tööandjad või kindlustus- ja pangandusettevõtjad.

(55)

Lisaks sellele töötlevad ametiasutused isikuandmeid avalike huvide tagamiseks konstitutsiooniõiguses või rahvusvahelises avalikus õiguses sätestatud ametlikult tunnustatud religioossete ühenduste eesmärkide saavutamiseks.

(56)

Kui valimisprotsessi käigus näeb demokraatlik süsteem liikmesriigis ette, et poliitilised parteid koguvad isikuandmeid inimeste poliitiliste vaadete kohta, võib selliste andmete töötlemine olla lubatud avalike huvidega seotud põhjustel ja tingimusel, et kehtestatakse vajalikud kaitsemeetmed.

(57)

Juhul kui vastutav töötleja töötleb selliseid isikuandmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima andmesubjekti tuvastamiseks täiendavat teavet ainult käesoleva määruse sätete järgimiseks. Vastutav töötleja ei tohiks aga keelduda sellise täiendava teabe vastuvõtmisest, mida andmesubjekt esitab oma õiguste kasutamise toetamiseks. Tuvastamine peaks hõlmama andmesubjekti digitaalset tuvastamist, näiteks sellise autentimise mehhanismi abil nagu samad volitused, mida andmesubjekt kasutab vastutava töötleja pakutavasse sidusteenusesse sisselogimiseks.

(58)

Läbipaistvuse põhimõte eeldab, et üldsusele või andmesubjektile suunatud teave on kokkuvõtlik, lihtsalt kättesaadav ja arusaadav ning selgelt ja lihtsalt sõnastatud ning samuti tuleks vajaduse korral täiendavalt kasutada visualiseerimist. Sellise teabe võib esitada elektrooniliselt, näiteks avalikkusele suunatud teabe puhul veebisaidi kaudu. Eriti asjakohane on see muudes olukordades, mille puhul osapoolte arvukuse ja kasutatava tehnoloogia keerukuse tõttu on andmesubjektil raske teada saada ja mõista, kas kogutakse tema isikuandmeid, kes neid kogub ja millisel eesmärgil, nagu näiteks veebireklaami puhul. Kuna lapsed väärivad erilist kaitset, peaks laste isikuandmete töötlemisel kogu teave olema ja suhtlemine toimuma selges ja lihtsas keeles, mis on lapsele kergesti arusaadav.

(59)

Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil taotleda ja vajaduse korral hankida tasuta eelkõige juurdepääsu õigusele nõuda isikuandmete parandamist või kustutamist ning kasutada õigust esitada vastuväiteid. Vastutav töötleja peaks samuti kättesaadavaks tegema vahendid, millega taotluse saab esitada elektrooniliselt, eriti kui isikuandmeid töödeldakse elektrooniliste vahenditega. Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul ning kui vastutav töötleja ei kavatse andmesubjekti taotlust rahuldada, siis seda põhjendama.

(60)

Õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest. Vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti. Lisaks tuleks andmesubjekti teavitada profiilianalüüsi olemasolust ja sellise analüüsi tagajärgedest. Kui isikuandmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud isikuandmeid esitama, ja selliste andmete esitamata jätmise tagajärgedest. Sellise teabe võib esitada koos standardsete ikoonidega, et anda kavandatavast töötlemisest selgelt nähtaval, arusaadaval ja loetaval viisil sisuline ülevaade. Kui ikoonid esitatakse elektrooniliselt, peaksid need olema masinloetavad.

(61)

Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle juhtumi asjaoludest olenevalt kas andmesubjektilt andmete kogumise ajal või mõistliku ajavahemiku jooksul, juhul kui andmeid hangitakse muust allikast. Kui isikuandmeid võib õiguspäraselt avaldada muule vastuvõtjale, tuleks andmesubjekti sellest teavitada andmete esmakordsel avaldamisel. Kui vastutav töötleja kavatseb isikuandmeid töödelda muul eesmärgil kui see, milleks neid koguti, peaks vastutav töötleja esitama andmesubjektile enne andmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu vajaliku teabe. Kui andmesubjektile ei saa esitada isikuandmete päritolu, sest kasutatud on mitut allikat, tuleks esitada üldteave.

(62)

Teabe esitamise kohustust ei ole siiski vaja kehtestada juhul, kui andmesubjektil on see teave juba olemas, juhul, kui isikuandmete dokumenteerimine või avaldamine on õigusnormides selgelt sätestatud või kui andmesubjekti teavitamine osutub võimatuks või nõuaks ebaproportsionaalselt suurt jõupingutust. Viimati nimetatu võib osutuda eriti asjakohaseks juhul, kui andmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Sellisel juhul tuleks arvesse võtta andmesubjektide arvu, andmete vanust ja kõiki asjakohaseid vastuvõetud kaitsemeetmeid.

(63)

Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada. See hõlmab andmesubjektide õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised. Igal andmesubjektil peaks seega olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku, isikuandmete vastuvõtjaid, isikuandmete automaatse töötlemise loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt juhul kui töötlemine põhineb profiilianalüüsil) ning saada eelneva kohta teate. Võimaluse korral peaks vastutav töötleja saama anda kaugjuurdepääsu turvalisele süsteemile, kus andmesubjekt saab otse tutvuda oma isikuandmetega. See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. Sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine. Kui vastutav töötleja töötleb suurt hulka andmesubjekti käsitlevat teavet, peaks vastutav töötleja saama paluda, et andmesubjekt täpsustaks enne andmete esitamist, millise teabe või milliste isikuandmete töötlemise toimingutega taotlus seotud on.

(64)

Vastutav töötleja peaks kasutama juurdepääsu taotleva andmesubjekti isiku tuvastamiseks kõiki mõistlikke meetmeid, seda eelkõige sidusteenuste ja võrguidentifikaatorite korral. Vastutav töötleja ei tohiks isikuandmeid säilitada üksnes selleks, et suuta reageerida võimalikele päringutele.

(65)

Andmesubjektil peaks olema õigus nõuda teda käsitlevate isikuandmete parandamist ja „õigus olla unustatud“ juhul, kui selliste andmete säilitamine rikub käesolevat määrust või vastutava töötleja suhtes kohaldatavat liidu või liikmesriigi õigust. Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele eelkõige siis, kui isikuandmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on töötlemisele antud nõusoleku tagasi võtnud või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele. Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada. Andmesubjektil peaks olema võimalik seda õigust kasutada, vaatamata sellele, et ta ei ole enam laps. isikuandmete jätkuv säilitamine peaks olema seaduslik aga juhul, kui see on vajalik sõna- ja teabevabaduse kasutamiseks, juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, rahvatervise valdkonna avalikes huvides, avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

(66)

Selleks et tugevdada võrgukeskkonnas õigust olla unustatud, tuleks laiendada õigust andmete kustutamisele, kohustades isikuandmed avaldanud vastutavat töötlejat võtma tarvitusele mõistlikke abinõusid, sealhulgas rakendades tehnilisi meetmeid, et teavitada selliseid isikuandmeid töötlevaid vastutavaid töötlejaid asjaolust, et andmesubjekt taotleb neilt kõnealustele isikuandmetele osutavate linkide või andmekoopiate või -korduste kustutamist. Seda tehes peaks vastutav töötleja võtma mõistlikke meetmeid, võttes arvesse vastutavale töötlejale vastutavale töötlejale kättesaadavat tehnoloogiat ja vahendeid, sealhulgas tehnilisi meetmeid, et teavitada isikuandmeid töötlevaid vastutavaid töötlejaid andmesubjekti taotlusest.

(67)

Isikuandmete töötlemise piiramise meetodid võivad muu hulgas hõlmata valitud isikuandmete ajutist ümberpaigutamist teise töötlemissüsteemi, valitud isikuandmete muutmist kasutajatele kättesaamatuks või avaldatud andmete ajutist kõrvaldamist veebisaidilt. Automaatsetes andmete kogumites tuleks isikuandmete töötlemise piiramine tagada üldjuhul tehniliste vahenditega selliselt, et isikuandmeid enam edasi ei töödelda ja neid ei saa enam muuta. Asjaolu, et isikuandmete töötlemine on piiratud, tuleks süsteemis selgelt määratleda.

(68)

Selleks et veelgi tugevdada kontrolli oma andmete üle, peaks andmesubjektil isikuandmete automatiseeritud töötlemise korral samuti olema lubatud saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus ning edastada neid teisele vastutavale töötlejale. Vastutavaid töötlejaid peaks julgustama arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. See õigus peaks olema kasutatav juhul, kui andmesubjekt esitas isikuandmed omaenda nõusoleku alusel või kui töötlemine on vajalik lepingu täitmiseks. See nõue ei peaks olema kohaldatav, kui töötlemine põhineb muul õiguslikul alusel kui nõusolek või leping. Seda õigust ei tohiks selle laadi tõttu kasutada vastutavate töötlejate suhtes, kes töötlevad isikuandmeid oma avalike kohustuste täitmisel. Seda ei tuleks seega kohaldada eelkõige siis, kui isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu kasutamiseks. Andmesubjekti õigus edastada või saada teda puudutavaid isikuandmeid ei peaks tekitama vastutavatele töötlejatele kohustust võtta kasutusele või hoida töös tehniliselt ühilduvaid andmetöötlussüsteeme. Kui teatud isikuandmed puudutavad enam kui üht andmesubjekti, ei tohiks isikuandmete saamise õigus piirata teiste andmesubjektide käesoleva määruse kohaseid õigusi ja vabadusi. Lisaks ei tohiks see õigus piirata andmesubjekti käesoleva määruse kohast õigust nõuda oma isikuandmete kustutamist ja selle õiguse piiranguid ning ei tohiks eelkõige tähendada andmesubjekti poolt lepingu täitmiseks esitatud teda käsitlevate isikuandmete kustutamist sel määral ja nii kaua, kui isikuandmed on vajalikud selle lepingu täitmiseks. Kui see on tehniliselt teostatav, peaks andmesubjektil olema õigus sellele, et isikuandmed edastatakse otse ühelt vastutavalt töötlejalt teisele.

(69)

Kui isikuandmeid võidakse seaduslikult töödelda sellepärast, et töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks või seoses vastutava töötleja või kolmanda isiku õigustatud huviga, peaks andmesubjektil olema ikkagi õigus tema konkreetse olukorraga seotud isikuandmete töötlemine vaidlustada. Vastutav töötleja peaks tõendama, et tema mõjuvad õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.

(70)

Kui isikuandmeid töödeldakse otseturunduse eesmärgil, peaks andmesubjektil olema õigus oma isikuandmete nii algse kui ka edasise töötlemise, sealhulgas otseturundusega seotud profiilianalüüsi tegemise suhtes igal ajal ja tasuta vastuväiteid esitada. Andmesubjekti tähelepanu tuleks selgesõnaliselt juhtida sellele õigusele ning see esitatakse selgelt ja eraldi igasugusest muust teabest.

(71)

Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes andmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat ja meedet sisaldada võivat otsust, millel on teda puudutavad õiguslikud tagajärjed või mis avaldab talle samamoodi märkimisväärset mõju, nagu veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhine tööle värbamine ilma inimsekkumiseta. Selline töötlemine hõlmab igasuguses isikuandmete automatiseeritud töötlemises seisnevat profiilianalüüsi, mille käigus hinnatakse füüsilise isikuga seotud isiklikke aspekte, mille eesmärk on eelkõige selliste aspektide analüüsimine ja prognoosimine, mis on seotud töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega, kui see toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle samamoodi märkimisväärset mõju. Sellisel töötlemisel, sealhulgas profiilianalüüsil põhinev otsuste tegemine peaks aga olema lubatud siis, kui see on sõnaselgelt lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, sealhulgas pettuste ja maksudest kõrvalehoidumise järelevalve ja ennetamise eesmärkidel, mida teostatakse vastavalt liidu institutsioonide või riiklike järelevalveasutuste normidele, standarditele ja soovitustele, ning vastutava töötleja osutatava teenuse turvalisuse ja usaldusväärsuse tagamiseks, või kui see on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks või siis, kui andmesubjekt on andnud selleks oma selgesõnalise nõusoleku. Igal juhul tuleks sellise töötlemise korral kehtestada sobivaid kaitsemeetmeid, mis peaksid hõlmama andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ning õigust seda otsust vaidlustada. Selline meede ei tohiks puudutada last.

Selleks et tagada andmesubjekti suhtes õiglane ja läbipaistev töötlemine, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti, peaks vastutav töötleja kasutama profiilianalüüsiks asjakohaseid matemaatilisi või statistilisi menetlusi, rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada eelkõige ebaõigeid isikuandmeid põhjustavate tegurite korrigeerimine ja vigade tegemise ohu minimeerimine, ning tagama isikuandmete turvalisuse selliselt, et võetakse arvesse potentsiaalset ohtu andmesubjekti huvidele ja õigustele ning ennetatakse muu hulgas diskrimineerivat mõju füüsilistele isikutele rassi või etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, geneetilise või tervisliku seisundi või seksuaalse sättumuse alusel või mille tulemuseks on sellise mõjuga meetmed. Automatiseeritud otsuste tegemine ja profiilianalüüs konkreetsete isikuandmete liikide põhjal peaks olema lubatud ainult eritingimustel.

(72)

Profiilianalüüsi suhtes kohaldatakse käesolevas määruses sätestatud isikuandmete töötlemist reguleerivaid eeskirju, näiteks töötlemise õiguslikke aluseid või andmekaitse põhimõtteid. Käesoleva määrusega loodud Euroopa Andmekaitsenõukogul („andmekaitsenõukogu“) peaks olema võimalik andma sellekohaseid suuniseid.

(73)

Piirangud, mis puudutavad konkreetseid põhimõtteid ja õigust saada teavet, andmetega tutvuda, nõuda nende parandamist ja kustutamist või õigust andmeid ühest süsteemist teise üle kanda, õigust esitada vastuväiteid, profiilianalüüsil põhinevaid otsuseid, samuti andmesubjekti isikuandmetega seotud rikkumisest teavitamist ning vastutavate töötlejate teatavaid seonduvaid kohustusi, võib kehtestada liidu või liikmesriigi õiguses, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne selleks, et tagada avalik julgeolek, sealhulgas inimelude kaitsmine eelkõige loodus- ja inimtegevusest tingitud õnnetustele reageerimisel, süütegude tõkestamine, uurimine ja nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine või nende ennetamine või reguleeritud kutsealade ametieetika rikkumise ennetamine, liidu või liikmesriigi muu üldise avaliku huvi, eelkõige liidu või liikmesriigi olulise majandus- või finantshuvi oluline eesmärk; üldisest avalikust huvist lähtuvate avalike registrite pidamine, arhiveeritud isikuandmete täiendav töötlemine endise totalitaarse riigikorra tingimustes toimunud poliitilise tegevusega seotud konkreetse teabe andmiseks, andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse, sealhulgas sotsiaalkaitse, rahvatervis ja humanitaareesmärgid. Nimetatud piirangud peaksid vastama hartas ning Euroopa inimõiguste ja põhivabaduste kaitsekonventsioonis sätestatud nõuetele.

(74)

Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.

(75)

Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, pseudonümiseerimise loata tühistamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning süüteoasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel või prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eriti laste isikuandmeid; kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte.

(76)

Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks andmetöötlustoimingutega kaasneb oht või suur oht.

(77)

Suuniseid asjakohaste meetmete rakendamiseks ja nõuete täitmise tõendamiseks vastutava töötleja või volitatud töötleja poolt, eelkõige seoses töötlemisega seotud ohu kindlakstegemisega, selle päritolu, laadi, tõenäosuse ja tõsiduse hindamisega ning ohu leevendamiseks kasutatavate parimate tavade kindlakstegemisega võib anda eelkõige heakskiidetud toimimisjuhenditega, heakskiidetud sertifikaatidega, andmekaitsenõukogu esitatud suunistega või andmekaitseametniku antud juhistega. Andmekaitsenõukogu võib anda ka suuniseid isikuandmete töötlemise toimingute kohta, mille puhul loetakse ebatõenäoliseks, et tekib suur oht füüsiliste isikute õigustele ja vabadustele, ning määrata kindlaks, millised meetmed võivad olla sellistel juhtudel piisavad sellise ohu käsitlemiseks.

(78)

Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva määruse nõuete täitmine. Selleks et olla võimeline tõendama käesoleva määruse täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis vastavad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Sellised meetmed võivad koosneda muu hulgas isikuandmete töötlemise miinimumini viimisest, isikuandmete võimalikult kiirest pseudonümiseerimisest, läbipaistvusest seoses isikuandmete eesmärgi ja töötlemisega, andmesubjektile andmete töötlemise jälgimise võimaluse andmisest, vastutavale töötlejale võimaluse andmisest luua ja parandada turvameetmeid. Selliste rakenduste, teenuste ja toodete väljatöötamisel, kavandamisel, valimisel ja kasutamisel, mis põhinevad isikuandmete töötlemisel või mille käigus töödeldakse isikuandmeid nende ülesannete täitmiseks, tuleks nende toodete, teenuste ja rakenduste tootjaid innustada võtma selliste toodete, teenuste ja rakenduste väljatöötamisel ja kavandamisel arvesse õigust andmekaitsele ning tagama asjakohaselt teaduse ja tehnoloogia viimast arengut arvestades, et vastutavad töötlejad ja volitatud töötlejad saaksid täita oma andmekaitsealaseid kohustusi. Riigihangete kontekstis tuleks samuti võtta arvesse lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid.

(79)

Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas seoses järelevalveasutuste teostatava kontrolli ja nende võetavate meetmetega eeldab käesolevas määruses sätestatud vastutusvaldkondade selget jaotamist, seda ka juhul kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui isikuandmete töötlemise toimingut teostatakse vastutava töötleja nimel.

(80)

Kui väljaspool liitu asuv vastutav töötleja või volitatud töötleja töötleb liidus olevate andmesubjektide isikuandmeid ja tema isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega sellistele andmesubjektidele liidus, olenemata sellest, kas andmesubjekt peab nende eest maksma, või selliste andmesubjektide käitumise jälgimisega, kui see käitumine toimub liidus, peaks vastutav töötleja või volitatud töötleja nimetama esindaja, välja arvatud juhul, kui ta töödeldakse juhtumipõhiselt, ei hõlma isikuandmete eriliikide suures ulatuses töötlemist või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemist ning selle tulemusel ei ohustata tõenäoliselt füüsiliste isikute õigusi ja vabadusi, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või kui vastutav töötleja on avaliku sektori asutus või organ. Esindaja peaks tegutsema vastutava töötleja või volitatud töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused. Esindaja peaks olema vastutava töötleja või volitatud töötleja kirjaliku volitusega selgesõnaliselt määratud tegutsema vastutava töötleja või volitatud töötleja nimel seoses kohustustega, mida nad peavad käesoleva määruse kohaselt täitma. Sellise esindaja määramine ei mõjuta vastutava töötleja või volitatud töötleja käesoleva määruse kohaseid kohustusi. Selline esindaja peaks täitma oma ülesandeid vastavalt vastutavalt töötlejalt või volitatud töötlejalt saadud volitustele, sealhulgas tegema pädevate järelevalveasutustega koostööd igasugustes meetmetes, mis võetakse käesoleva määruse täitmise tagamiseks. Määratud esindaja suhtes tuleks kohaldada täitemenetlust, kui vastutav töötleja ega volitatud töötleja ei täida käesoleva määruse sätteid.

(81)

Kui vastutava töötleja nimel töötleb andmeid volitatud töötleja, peaks vastutav töötleja kasutama käesoleva määruse nõuete täitmise tagamiseks isikuandmete töötlemise toimingute usaldamisel volitatud töötlejale ainult selliseid volitatud töötlejaid, kes annavad piisavad tagatised, eelkõige seoses erialaste teadmiste, usaldusväärsuse ja vahenditega, et nad suudavad rakendada tehnilisi ja korralduslikke meetmeid, mis vastavad käesoleva määruse nõuetele, sealhulgas töötlemise turvalisusele kehtestatud nõuetele. Seda, et volitatud töötleja järgib heakskiidetud toimimisjuhendit või heakskiidetud sertifitseerimismehhanismi, võib kasutada elemendina, mis tõendab vastutava töötleja kohustuste täitmist. Volitatud töötleja peaks andmeid töötlema volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärgid, isikuandmete liik ja andmesubjektide kategooriad ning peaks arvesse võtma volitatud töötleja konkreetseid ülesandeid ja kohustusi seoses teostatava töötlemisega ning ohtu andmesubjekti õigustele ja vabadustele. Vastutav töötleja ja volitatud töötleja võivad teha otsuse kasutada individuaalset lepingut või lepingu tüüptingimusi, mille on vastu võtnud kas otseselt komisjon või järelevalveasutus kooskõlas järjepidevuse mehhanismiga ja seejärel komisjon. Pärast vastutava töötleja nimel töötlemise lõpetamist peaks volitatud töötleja isikuandmed vastutava töötleja valikul kas tagastama või kustutama, välja arvatud juhul, kui volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õiguse kohaselt tuleb isikuandmeid säilitada.

(82)

Käesoleva määruse täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja säilitama andmeid tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute kohta. Vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema need salvestatud andmed taotluse korral järelevalveasutusele kättesaadavaks, et neid saaks kasutada nimetatud isikuandmete töötlemise toimingute kontrollimiseks.

(83)

Turvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Andmeturbeohtu hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohte, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, materiaalne või mittemateriaalne kahju.

(84)

Käesoleva määruse järgimise parandamiseks juhtudel, kus isikuandmete töötlemise toimingud kujutavad endast füüsiliste isikute õigustele ja vabadustele tõenäoliselt suurt ohtu, peaks vastutav töötleja vastutama andmekaitsealase mõjuhinnangu tegemise eest, et hinnata eelkõige selle ohu päritolu, laadi, eripära ja tõsidust. Hinnangu tulemust tuleks arvestada asjakohaste meetmete kindlaksmääramisel, mis tuleb võtta selle tõendamiseks, et isikuandmete töötlemine on käesoleva määrusega kooskõlas. Kui andmekaitsealane mõjuhinnang näitab, et isikuandmete töötlemise toimingutega kaasneb suur oht, mida vastutav töötleja ei saa leevendada kättesaadava tehnoloogia ja rakendamise maksumuse osas asjakohaste meetmetega, tuleks enne töötlemist konsulteerida järelevalveasutusega.

(85)

Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. Seetõttu, niipea kui vastutav töötleja saab teada, et on toimunud isikuandmetega seotud rikkumine, peaks vastutav töötleja teatama isikuandmetega seotud rikkumisest järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui vastutav töötleja suudab kooskõlas vastutamise põhimõttega tõendada, et selle rikkumise tulemusena ei teki tõenäoliselt ohtu füüsilise isiku õigustele ja vabadustele. Kui 72 tunni jooksul teatamine ei ole võimalik, tuleks teatisele lisada selle hilinemise põhjused ning selle teabe võib anda järk-järgult ilma põhjendamatu viivituseta.

(86)

Vastutav töötleja peaks ilma põhjendamatu viivituseta teavitama andmesubjekti isikuandmetega seotud rikkumisest, kui rikkumise tulemusena tekib tõenäoliselt suur oht füüsilise isiku õigustele ja vabadustele, et võimaldada andmesubjektil võtta vajalikke ettevaatusabinõusid. Teates tuleks kirjeldada isikuandmetega seotud rikkumise olemust, samuti tuleks anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teade tuleks saata andmesubjektile nii kiiresti kui mõistlikkuse piires võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjakohaste asutuste nagu näiteks õiguskaitseasutuste suunistest. Näiteks kahju tekkimise otsese ohu leevendamise vajadus eeldaks andmesubjekti kohest teavitamist, samal ajal kui vajadus rakendada asjakohaseid meetmeid isikuandmetega seonduvate rikkumiste jätkumise või samalaadsete isikuandmetega seonduvate rikkumiste ärahoidmiseks võib õigustada hilisemat teavitamist.

(87)

Tuleks kontrollida, kas kõiki asjakohaseid tehnilisi kaitsemeetmeid ja korralduslikke meetmeid on rakendatud, et teha viivitamata kindlaks, kas isikuandmetega seotud rikkumine on toimunud, ning teavitada sellest kohe järelevalveasutust ning andmesubjekti. Asjaolu, et teavitamine toimus põhjendamatu viivituseta, tuleks kindlaks teha, arvestades eelkõige isikuandmetega seotud rikkumise laadi, tõsidust ja tagajärgi ning kahjulikku mõju andmesubjektile. Sellise teavitamise järel võib asjasse sekkuda järelevalveasutus, kooskõlas talle käesolevas määruses ette nähtud ülesannete ja volitustega.

(88)

Isikuandmetega seotud rikkumisest teatamise vormide ja menetluste kohta üksikasjalike eeskirjade koostamisel tuleks nõuetekohaselt arvesse võtta ka nimetatud rikkumise asjaolusid, sealhulgas seda, kas isikuandmed olid või ei olnud kaitstud asjakohaste tehnoloogilise kaitse meetmetega, mis vähendab tõhusalt identiteedipettuse või muu väärkasutuse tõenäosust. Lisaks tuleks sellistes eeskirjades ja menetlustes arvesse võtta õiguskaitseasutuste õigustatud huve juhtudel, kui varajane avalikustamine võib tarbetult takistada isikuandmetega seotud rikkumise asjaolude uurimist.

(89)

Direktiivis 95/46/EÜ nähti ette üldine kohustus teatada isikuandmete töötlemisest järelevalveasutustele. Kõnealune kohustus põhjustab haldus- ja finantskoormust, kuid ei ole alati aidanud parandada isikuandmete kaitset. Seega tuleks selline valimatu üldise teatamise kohustus kaotada ning asendada tõhusate menetluste ja mehhanismidega, mille raames keskendutakse hoopis neile isikuandmete töötlemise toimingute liikidele, mis kujutavad oma laadi, ulatuse, konteksti ja eesmärkide poolest tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele. Sellised isikuandmete töötlemise toimingute liigid võivad olla need, mis hõlmavad eelkõige uue tehnoloogia kasutamist või on uut tüüpi ning mille puhul vastutav töötleja ei ole varem andmekaitsealast mõjuhinnangut teostanud või kus toimingud muutuvad vajalikuks seoses esmasest töötlemisest möödunud ajaga.

(90)

Sellistel juhtudel peaks vastutav töötleja suure ohu konkreetse tõenäosuse ja tõsiduse hindamiseks, võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärke ning ohu tõsidust, koostama enne töötlemist andmekaitsealase mõjuhinnangu. Nimetatud mõjuhinnang peaks eelkõige sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme selle ohu leevendamiseks ja isikuandmete kaitse tagamiseks ning käesoleva määruse täitmise tõendamiseks.

(91)

Seda tuleks eelkõige kohaldada ulatuslike isikuandmete töötlemise toimingute puhul, mille eesmärk on töödelda suurt hulka isikuandmeid piirkondlikul, riiklikul või rahvusvahelisel tasandil ja mis võivad mõjutada paljusid andmesubjekte ning mis kujutavad endast tõenäoliselt suurt ohtu, näiteks nende andmete tundlikkuse tõttu, kui vastavalt tehnoloogiliste teadmiste tasemele kasutatakse ulatuslikult uut tehnoloogiat, samuti muude isikuandmete töötlemise toimingute puhul, mis kujutavad endast suurt ohtu andmesubjektide õigustele ja vabadustele, eelkõige juhul, kui andmesubjektidel on nende toimingute tõttu raskem oma õigusi kasutada. Andmekaitsealane mõjuhinnang tuleks teha ka juhtudel, kus isikuandmeid töödeldakse selleks, et võtta vastu otsuseid konkreetsete füüsiliste isikute kohta pärast millist tahes füüsiliste isikutega seotud isiklike aspektide profiilianalüüsil põhinevat süstemaatilist ja põhjalikku hindamist või pärast seda, kui töödeldakse eriliikidesse kuuluvaid isikuandmeid, biomeetrilisi andmeid või andmeid süüteoasjades süüdimõistvate kohtuotsuste ja rikkumiste või nendega seotud turvameetmete kohta. Andmekaitsealast mõjuhinnangut on samuti vaja avalike alade ulatusliku jälgimise puhul, eriti kui kasutatakse elektroonilisi optikaseadmeid, või mis tahes muude toimingute puhul, kui pädev järelevalveasutus leiab, et töötlemine võib kujutada endast tõenäoliselt suurt ohtu andmesubjektide õigustele ja vabadustele, eelkõige sellepärast, et need takistavad andmesubjektidel õiguse või teenuse või lepingu kasutamist, või sellepärast, et neid teostatakse süstemaatiliselt suures ulatuses. Isikuandmete töötlemist ei tuleks lugeda ulatuslikuks, kui töötlemine puudutab patsientide või klientide isikuandmete töötlemist üksiku arsti, muu tervishoiutöötaja või juristi poolt. Sellistel juhtudel ei peaks andmekaitsealane mõjuhinnang olema kohustuslik.

(92)

On juhtumeid, mille puhul võib olla mõistlik ja säästlik hõlmata andmekaitsealase mõjuhinnanguga rohkem kui üht projekti, näiteks juhul, kui avaliku sektori asutused või organid kavatsevad kasutusele võtta ühise rakenduse või töötlemisplatvormi või mitu vastutavat töötlejat kavatseb kasutusele võtta ühise rakenduse või töötlemiskeskkonna kogu tööstusharus või allharus või laialdaselt kasutatava horisontaalse tegevuse puhul.

(93)

Selliste liikmesriigi õigusaktide vastuvõtmisel, millele avaliku sektori asutuse või organi ülesannete täitmine tugineb ja millega reguleeritakse kõnealuseid konkreetseid isikuandmete töötlemise toiminguid või nende kogumit, võib liikmesriik pidada vajalikuks viia selline hindamine läbi enne isikuandmete töötlemise toimingute alustamist.

(94)

Kui andmekaitsealane mõjuhinnang näitab, et töötlemise tulemusena tekiks ohu leevendamise kaitsemeetmete ning turvameetmete ja -mehhanismide puudumisel suur oht füüsiliste isikute õigustele ja vabadustele, ning vastutav töötleja leiab, et seda ohtu ei ole võimalik kättesaadava tehnoloogia ja rakendamiskulude seisukohast mõistlike meetmetega leevendada, tuleks enne isikuandmete töötlemise toimingute alustamist konsulteerida järelevalveasutusega. Selline suur oht tekib tõenäoliselt isikuandmete teatud liiki töötluse ning töötlemisulatuse ja -sageduse tulemusena, mille tagajärjel võib tekkida ka kahju füüsilise isiku õigustele ja vabadustele või sekkumine nendesse. Järelevalveasutus peaks vastama konsulteerimistaotlusele konkreetse ajavahemiku jooksul. Järelevalveasutuse reaktsiooni puudumine selle ajavahemiku jooksul ei tohiks aga mõjutada järelevalveasutuse sekkumist kooskõlas talle käesolevas määruses ette nähtud ülesannete ja volitustega, sealhulgas õigust keelata isikuandmete töötlemise toiminguid. Kõnealuse konsulteerimisprotsessi osana võib asjaomase töötlemise suhtes tehtud andmekaitsealase mõjuhinnangu tulemuse esitada järelevalveasutusele, eelkõige seoses meetmetega, mis on ette nähtud füüsiliste isikute õigusi ja vabadusi ähvardavate ohtude leevendamiseks.

(95)

Volitatud töötleja peaks abistama vajaduse ja taotluse korral vastutavat töötlejat, et tagada kooskõla kohustustega, mis tulenevad andmekaitsealaste mõjuhinnangute teostamisest ja järelevalveasutusega eelnevast konsulteerimisest.

(96)

Samuti tuleks järelevalveasutusega konsulteerida siis, kui valmistatakse ette õiguslikku või reguleerivat meedet, milles nähakse ette isikuandmete töötlemine, et tagada kavandatava töötlemise kooskõla käesoleva määrusega ning eelkõige leevendada andmesubjekti ähvardavat ohtu.

(97)

Kui töötlemist teostab avaliku sektori asutus, välja arvatud kohtud või sõltumatud õigusasutused, kui nad teevad menetlusotsuseid, töötlejaks on erasektoris vastutava töötleja, kelle põhitegevus hõlmab isikuandmete töötlemise toiminguid, mis eeldavad ulatuslikku regulaarset ja süstemaatilist järelevalvet andmesubjektide üle, või kui vastutava töötleja või volitatud töötleja põhitegevus hõlmab isikuandmete eriliikide ja süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist, peaks vastutavat töötlejat või volitatud töötlejat abistama andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil tundev isik, kes kontrollib käesoleva määruse täitmist asutuse või töötleja poolt. Erasektoris on vastutava töötleja põhitegevus seotud tema esmase tegevusega ning mitte isikuandmete töötlemisega kõrvaltegevusena. Erialaste teadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt teostatavatele andmetöötlustoimingutele ning vastutava töötleja või volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele. Sellistel andmekaitseametnikel, sõltumata sellest, kas nad on vastutava töötleja töötajad või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatul viisil.

(98)

Vastutavate töötlejate ja volitatud töötlejate eri kategooriaid esindavaid ühendusi ja muid asutusi tuleks kutsuda üles koostama käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse teatavates sektorites toimuva töötlemise eriomadusi ning mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi. Eelkõige võiks selliste toimimisjuhenditega kindlaks määrata vastutavate töötlejate ja volitatud töötlejate kohustused, võttes arvesse isikuandmete töötlemisest tõenäoliselt tekkivat ohtu füüsiliste isikute õigustele ja vabadustele.

(99)

Toimimisjuhendi koostamisel või sellise juhendi muutmisel või laiendamisel peaksid vastutavate töötlejate või volitatud töötlejate kategooriaid esindavad ühendused ja muud asutused konsulteerima asjakohaste sidusrühmadega, sealhulgas võimaluse korral andmesubjektidega, ning võtma arvesse konsulteerimiste käigus saadud ettepanekuid ja väljendatud seisukohti.

(100)

Selleks et parandada läbipaistvust ja käesoleva määruse järgimist, tuleks soodustada sertifitseerimismehhanismide, andmekaitsepitserite ja -märgiste kehtestamist, mis annavad andmesubjektidele võimaluse kiiresti hinnata asjakohaste toodete ja teenuste andmekaitse taset.

(101)

Isikuandmete piiriülene liikumine liitu mitte kuuluvatesse riikidesse ja rahvusvahelistele organisatsioonidele ning nendest riikidest ja organisatsioonidest liitu on vajalik rahvusvahelise kaubanduse ja koostöö laiendamiseks. Selliste andmevoogude suurenemine on laiendanud isikuandmete kaitsega seonduvate väljakutsete ja probleemide ringi. Isikuandmete edastamisel liidust vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele ei tohiks aga kahjustada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse taset, sealhulgas juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis. Igal juhul tohib andmeid kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastada ainult käesolevat määrust täielikult järgides. Andmeid tohiks edastada ainult siis, kui vastutav töötleja ja volitatud töötleja täidavad käesolevas määruses sätestatud tingimusi isikuandmete edastamise kohta, arvestades muid käesoleva määruse sätteid.

(102)

Käesolev määrus ei piira liidu ja kolmandate riikide vahel sõlmitud selliste rahvusvaheliste lepingute kohaldamist, millega reguleeritakse isikuandmete edastamist, sealhulgas asjakohaseid andmesubjektide kaitsmise meetmeid. Liikmesriigid võivad sõlmida rahvusvahelisi lepinguid, mis hõlmavad isikuandmete edastamist kolmandatele riikidele või rahvusvahelistele organisatsioonidele, kui kõnealused lepingud ei mõjuta käesolevat määrust ega mis tahes muid liidu õiguse sätteid ning nendes nähakse ette andmesubjektide põhiõiguste piisaval tasemel kaitse.

(103)

Komisjon võib kogu liidu osas otsustada, et kolmas riik, territoorium või kindlaksmääratud sektor või rahvusvaheline organisatsioon pakuvad isikuandmete kaitset piisaval tasemel, tagades seega kogu liidus selle kolmanda riigi ja rahvusvahelise organisatsiooni osas õiguskindluse ja ühtsuse, mille puhul loetakse, et nad tagavad isikuandmete kaitse piisaval tasemel. Sellisel juhul võib isikuandmete edastamine kõnealusesse riiki või kõnealusele rahvusvahelisele organisatsioonile toimuda ilma, et oleks vaja saada täiendav luba. Komisjon võib samuti otsustada sellise otsuse tagasi võtta, teavitades sellest kolmandat riiki või rahvusvahelist organisatsiooni ja esitades talle täieliku põhjenduse.

(104)

Kooskõlas põhiväärtustega, millele liit on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi või territooriumi või kindlaksmääratud sektori hindamisel arvesse võtma seda, kuidas konkreetne kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest ning oma üldistest ja valdkondlikest õigusaktidest, sealhulgas õigusaktidest, mis käsitlevad avalikku julgeolekut, riigikaitset ja riiklikku julgeolekut, samuti avalikku korda ja kriminaalõigust. Võttes vastu kaitse piisavuse otsust seoses territooriumi või kindlaksmääratud sektoriga kolmandas riigis, tuleks arvesse võtta selgeid ja objektiivseid kriteeriume, näiteks konkreetseid isikuandmete töötlemise toiminguid ja kohaldatavate õigusnormide kohaldamisala ning kolmandas riigis kehtivaid õigusakte. Kolmas riik peaks võtma kohustusi, millega tagatakse piisav kaitse tase, mis sisuliselt vastab liidus tagatava kaitse tasemele, eelkõige juhul, kui isikuandmeid töödeldakse ühes või mitmes konkreetses sektoris. Eelkõige peaks kolmas riik tagama andmete kaitse tõhusa ja sõltumatu järelevalve ja nägema ette liikmesriikide andmekaitseasutustega tehtava koostöö mehhanismid, samuti tuleks andmesubjektidele tagada tõhusad ja kohtulikult kaitstavad õigused ning tõhus haldus- ja õiguskaitse.

(105)

Lisaks kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelistele kohustustele peaks komisjon võtma arvesse kohustusi, mis tulenevad kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega, samuti selliste kohustuste rakendamist. Eelkõige tuleks arvesse võtta kolmanda riigi ühinemist Euroopa Nõukogu 28. jaanuari 1981. aasta isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni ja selle lisaprotokolliga. Kolmandate riikide või rahvusvaheliste organisatsioonide kaitse taseme hindamisel peaks komisjon konsulteerima andmekaitsenõukoguga.

(106)

Komisjon peaks teostama järelevalvet otsuste toimimise üle, milles käsitletakse kaitse taset kolmandas riigis, territooriumil või kindlaksmääratud sektoris või rahvusvahelises organisatsioonis, ning direktiivi 95/46/EÜ artikli 25 lõike 6 või artikli 26 lõike 4 alusel vastu võetud otsuste toimimise üle. Komisjon peaks oma kaitse piisavuse otsustes nägema ette nende toimimise korrapärase läbivaatamise mehhanismi. Nimetatud korrapärast läbivaatamist tuleks teostada asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsulteerides ning võtta tuleks arvesse kõiki asjaomaseid arenguid kolmandas riigis või rahvusvahelises organisatsioonis. Järelevalve ja korrapäraste läbivaatamiste teostamisel peaks komisjon võtma arvesse Euroopa Parlamendi ja nõukogu ning samuti teiste asjakohaste asutuste ja allikate arvamusi ja järeldusi. Komisjon peaks mõistliku aja jooksul hindama viimati nimetatud otsuste toimimist ja esitama kõigi asjakohaste järelduste kohta aruande Euroopa Parlamendi ja nõukogu määruse (EL) nr 182/2011 (12) kohasele komiteele, mis on asutatud käesoleva määruse alusel, samuti Euroopa Parlamendile ja nõukogule.

(107)

Komisjon võib tunnistada, et kolmandas riigis, territooriumil või kindlaksmääratud sektoris või rahvusvahelises organisatsioonis ei tagata enam piisaval tasemel andmekaitset. Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile või rahvusvahelisele organisatsioonile keelata, välja arvatud juhul, kui täidetakse käesoleva määruse nõudeid, mis on seotud edastamisega asjaomaste kaitsemeetmete abil, sealhulgas siduvad kontsernisisesed eeskirjad ja erandid konkreetsetes olukordades. Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni konsultatsioonid. Komisjon peaks kolmandat riiki või rahvusvahelist organisatsiooni õigeaegselt põhjustest teavitama ja alustama nendega konsultatsioone, et olukorda parandada.

(108)

Kaitse piisavuse otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et korvata kolmanda riigi andmekaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad kontsernisisesed eeskirjad, komisjoni vastu võetud standardsed andmekaitseklauslid, järelevalveasutuse vastu võetud standardsed andmekaitseklauslid või järelevalveasutuse heaks kiidetud lepingu tüüptingimused. Need kaitsemeetmed peaksid tagama liidu siseseks töötlemiseks asjakohaste andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, sealhulgas andmesubjektide kohtulikult kaitstavate õiguste ja tõhusate õiguskaitsevahendite kättesaadavuse, kaasa arvatud õiguse saada tõhusat haldus- või õiguskaitset ja nõuda hüvitist liidus või kolmandas riigis. Kaitsemeetmed peaksid olema eelkõige seotud vastavusega üldistele isikuandmete töötlemise põhimõtetele ning lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Andmeid võivad edastada ka avaliku sektori asutused või organid koos kolmandate riikide avaliku sektori asutuste või organitega või rahvusvaheliste organisatsioonidega, kellel on vastavad kohustused või funktsioonid, sealhulgas vastavalt sellistesse halduskokkulepetesse lisatavatele sätetele nagu vastastikuse mõistmise memorandum, nähes ette tõhusad ja kohtulikult kaitstavad õigused andmesubjektidele. Pädeva järelevalveasutuse luba tuleks saada siis, kui kaitsemeetmed on sätestatud õiguslikult mittesiduvates halduskokkulepetes.

(109)

Vastutavale töötlejale või volitatud töötlejale antud võimalus kasutada komisjoni või järelevalveasutuse vastu võetud standardseid andmekaitseklausleid ei tohiks takistada vastutavat töötlejat või volitatud töötlejat lisamast standardsed andmekaitseklauslid laiemasse lepingusse, nagu näiteks kahe volitatud töötleja vahelisse lepingusse, ega lisamast muid klausleid või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu komisjoni või järelevalveasutuse vastu võetud lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi ja -vabadusi. Vastutavaid töötlejaid ja volitatud töötlejaid tuleks ergutada nägema ette täiendavaid kaitsemeetmeid lepinguliste kohustuste abil, mis täiendavad standardseid kaitseklausleid.

(110)

Kontsern või ühise majandustegevusega tegelevate ettevõtjate rühm peaks saama andmete rahvusvahelise edastamise korral liidust samasse ühise majandustegevusega tegelevasse kontserni või ettevõtjate rühma kuuluvatele organisatsioonidele kasutada heakskiidetud siduvaid kontsernisiseseid eeskirju, kui sellised eeskirjad hõlmavad kõiki olulisi põhimõtteid ja kohtulikult kaitstavaid õigusi, et tagada sobivad kaitsemeetmed isikuandmete edastamise eri liikide puhul.

(111)

Andmete edastamine peaks olema võimalik teatavatel asjaoludel, kui andmesubjekt on andnud oma selgesõnalise nõusoleku, kui edastamine on juhtumipõhine ja vajalik seoses lepingu või õigusliku nõudega, sõltumata sellest, kas tegemist on kohtumenetluse, haldusmenetluse või mõne kohtuvälise menetluse, sealhulgas reguleerivate asutuste vaheliste menetlustega. Andmete edastamine peaks olema võimalik ka juhul, kui see on vajalik seoses liidu või liikmesriigi õiguses sätestatud kaaluka avaliku huviga või kui edastatakse andmeid, mis pärinevaid seadusega loodud registrist, mis on mõeldud kasutamiseks avalikkusele või kõigile õigustatud huviga isikutele. Viimati nimetatud juhul ei tohiks edastada kõiki isikuandmeid ega registris sisalduvate andmete kõiki liike ja juhul, kui register on mõeldud kasutamiseks õigustatud huviga isikutele, tuleks andmed edastada ainult kõnealuste isikute taotluse korral või juhul, kui nemad on andmete vastuvõtjad, võttes täielikult arvesse andmesubjekti huve ja põhiõigusi.

(112)

Nimetatud erandeid tuleks kohaldada eelkõige sellise andmeedastuse puhul, mis on nõutav ja vajalik avalikust huvist tulenevatel kaalukatel põhjustel, näiteks andmete rahvusvahelisel vahetamisel konkurentsiasutuste vahel, maksu- ja tolliasutuste vahel, finantsjärelevalveasutuste vahel, sotsiaalkindlustuse või rahvatervise eest vastutavate asutuste vahel, näiteks nakkushaiguste suhtes kontaktsete isikute väljaselgitamisel või spordis dopingu kasutamise vähendamiseks ja/või kaotamiseks. Isikuandmete edastamist tuleks pidada seaduslikuks ka siis, kui see on vajalik selliste huvide kaitsmiseks, mis on olulised andmesubjekti või muu isiku eluliste huvide, sealhulgas füüsilise puutumatuse, või elu kaitsmiseks, kui andmesubjekt ei ole võimeline nõusolekut andma. Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu või liikmesriigi õigusega selgesõnaliselt seada piiranguid konkreetset liiki isikuandmete edastamisele kolmandasse riiki või rahvusvahelisele organisatsioonile. Liikmesriigid peaksid teatama sellistest otsustest komisjonile. Nõusoleku andmiseks füüsiliselt või õiguslikult võimetu andmesubjekti isikuandmete mis tahes edastamist rahvusvahelisele humanitaarorganisatsioonile, eesmärgiga täita Genfi konventsioonide kohast ülesannet või austada relvastatud konfliktides kohaldatavat rahvusvahelist humanitaarõigust võiks lugeda vajalikuks avalikust huvist tuleneval kaalukal põhjusel või põhjusel, et see on andmesubjekti jaoks eluliselt tähtis.

(113)

Edastamine, mida saab pidada mittekorduvaks ning mis puudutab üksnes piiratud arvu andmesubjekte, võiks samuti toimuda vastutava töötleja mõjuvates õigustatud huvides, kui andmesubjekti huvid või õigused ja vabadused ei kaalu neid huve üles ja kui vastutav töötleja on hinnanud andmeedastuse kõiki asjaolusid. Vastutav töötleja peaks pöörama erilist tähelepanu isikuandmete laadile, kavandatud isikuandmete töötlemise toimingu või isikuandmete töötlemise toimingute eesmärgile ja kestusele ning samuti olukorrale andmete päritoluriigis, kolmandas riigis ja lõplikus sihtriigis ning tagama seoses isikuandmete töötlemisega sobivad kaitsemeetmed füüsiliste isikute põhiõiguste ja -vabaduste kaitsmiseks. Selline edastamine peaks olema võimalik ainult ülejäänud juhtudel, kui ükski muudest edastamispõhjustest ei ole kohaldatav. Teadus- või ajaloouuringute või statistilise eesmärgi osas tuleks võtta arvesse ühiskonna õiguspäraseid ootusi, et teadmisi laiendatakse. Vastutav töötleja peaks teatama edastamisest järelevalveasutusele ja andmesubjektile.

(114)

Igal juhul, kui komisjon ei ole teinud otsust kolmanda riigi andmekaitse taseme piisavuse kohta, peaks vastutav töötleja või volitatud töötleja kasutama lahendusi, millega antakse andmesubjektidele neid puudutava töötlemise korral liidus kohtulikult kaitstavad ja tõhusad õigused pärast selliste andmete edastamist, nii et neil on jätkuvalt samad põhiõigused ja nende suhtes kohaldatakse samu kaitsemeetmeid.

(115)

Mõned kolmandad riigid võtavad vastu seadused, määrused ja muud õigusaktid, millega vahetult reguleeritakse liikmesriikide kohtualluvusse kuuluvate füüsiliste ja juriidiliste isikute töötlustoiminguid. Need võivad hõlmata kolmanda riigi kohtu või haldusasutuse otsuseid, millega nõutakse vastutavalt töötlejalt või volitatud töötlejalt isikuandmete edastamist või avaldamist ning mis ei põhine rahvusvahelisel lepingul, näiteks kolmanda riigi ja liidu või liikmesriigi vahel kehtiva vastastikuse õigusabi lepingul. Nende seaduste, määruste ja muude õigusaktide kohaldamine väljaspool asjaomase kolmanda riigi territooriumi võib olla vastuolus rahvusvahelise õigusega ning takistada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse taseme saavutamist. Andmete edastamine peaks olema lubatud ainult juhul, kui on täidetud käesoleva määruse tingimused kolmandatesse riikidesse edastamise kohta. Nii võib see olla muu hulgas siis, kui avaldamine on vajalik kaaluka avaliku huvi tõttu, mis on sätestatud kas liidu või liikmesriigi õiguses, mida vastutava töötleja suhtes kohaldatakse.

(116)

Isikuandmete liikumine üle piiride liidust välja võib raskendada füüsiliste isikute võimalusi kasutada õigust andmete kaitsele, eelkõige kaitsta end sellise teabe ebaseadusliku kasutamise ja avaldamise eest. Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega teostada uurimist väljapoole oma riigi piire jäävates küsimustes. Nende piiriülese koostöö püüdlusi võivad takistada ka tõkestamiseks ja kaitsemeetmete kehtestamiseks ebapiisavad volitused, ebaühtlane õiguskord ja praktilised tõkked, nagu piiratud vahendid. Seepärast on vaja tihendada andmekaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet ja teostada uurimist teiste riikide järelevalveasutustega. Rahvusvaheliste koostöömehhanismide väljatöötamiseks, et hõlbustada ja pakkuda rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, peaksid komisjon ja järelevalveasutused vahetama teavet ja tegema oma volituste täitmisega seotud tegevuses koostööd kolmandate riikide pädevate asutustega vastastikkuse alusel ja kooskõlas käesoleva määrusega.

(117)

Liikmesriikides selliste järelevalveasutuste loomine, kes on volitatud täiesti sõltumatult oma ülesandeid täitma ja volitusi kasutama, on oluline tegur füüsiliste isikute kaitsmisel seoses nende isikuandmete töötlemisega. Liikmesriikidel peaks olema võimalik looma rohkem kui ühe järelevalveasutuse oma põhiseaduse, organisatsioonilise ja haldusstruktuuri kohaselt.

(118)

Järelevalveasutuste sõltumatus ei tohiks tähendada seda, et järelevalveasutustele ei saa kohaldada kontrolli- või järelevalvemehhanismi seoses nende rahaliste kulutustega või kohtulikku kontrolli.

(119)

Kui liikmesriik loob mitu järelevalveasutust, peaks ta seadusega kehtestama mehhanismid, millega tagatakse nende järelevalveasutuste tõhus osalemine järjepidevuse mehhanismis. Eelkõige peaks kõnealune liikmesriik määrama järelevalveasutuse, kes tegutseb keskse kontaktpunktina nende asutuste tõhusaks osalemiseks mehhanismis, et tagada kiire ja takistusteta koostöö teiste järelevalveasutustega, andmekaitsenõukogu ja komisjoniga.

(120)

Igale järelevalveasutusele tuleks anda rahalised ja inimressursid, ruumid ja infrastruktuur, mis on vajalikud nende ülesannete, sealhulgas kogu liidus teiste järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks. Igal järelevalveasutusel peaks olema eraldi avalik aastaeelarve, mis võib olla regiooni või riigi üldeelarve osa.

(121)

Järelevalveasutuse liikmele või liikmetele esitatavad üldtingimused tuleks kehtestada igas liikmesriigis õigusaktiga ning neis tuleks eelkõige ette näha see, et liikmed peaks valitsuse või valitsuse liikme või parlamendi või parlamendi koja ettepaneku alusel nimetama läbipaistva menetluse teel ametisse asjaomase liikmesriigi parlament, valitsus, liikmesriigi riigipea, parlamendikoda või liikmesriigi õiguse kohaselt volitatud sõltumatu asutus. Järelevalveasutuse sõltumatuse tagamiseks peaks liige või liikmed käituma ausalt, hoiduma oma kohustustega kokku sobimatust tegevusest ja ei peaks töötama oma ametiaja jooksul ühelgi sobimatul tasustataval või mittetasustataval ametikohal. Järelevalveasutusel peaks olema oma töötajad, kelle valib järelevalveasutus või liikmesriigi õiguse kohaselt asutatud sõltumatu asutus ning kes peaksid alluma ainult järelevalveasutuse liikme või liikmete juhtimisele.

(122)

Järelevalveasutus peaks olema oma liikmesriigi territooriumil pädev täitma talle käesoleva määrusega antud volitusi ja ülesandeid. Eelkõige peaks see hõlmama töötlemist, mis leiab aset vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames tema liikmesriigi territooriumil, isikuandmete töötlemist, mida teostavad avaliku sektori või eraõiguslikud asutused avalikes huvides, töötlemist, mis mõjutab andmesubjekte tema liikmesriigi territooriumil, või töötlemist, mida teostab vastutav töötleja või volitatud töötleja, kelle tegevuskoht ei asu liidus, kuid sihtandmesubjektide elukoht on tema territooriumil. See peaks hõlmama andmesubjektide esitatud kaebuste menetlemist, käesoleva määruse kohaldamist käsitlevate uurimiste läbiviimist ning avalikkuse teadlikkuse tõstmist isikuandmete töötlemisega seotud ohtudest, eeskirjadest, tagatistest ja õigustest.

(123)

Järelevalveasutused peaksid jälgima käesoleva määruse sätete kohaldamist ja aitama kaasa selle ühtsele kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel ning soodustada isikuandmete vaba liikumist siseturul. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga, ilma et liikmesriikide vahel oleks vaja sõlmida vastastikuse abi andmise või koostöö tegemise lepingut.

(124)

Kui isikuandmeid töödeldakse toimub vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames liidus ning vastutaval töötlejal või volitatud töötlejal on tegevuskoht enamas kui ühes liikmesriigis või kui liidus asuva vastutava töötleja või volitatud töötleja ainsa tegevuskoha tegevuse raames toimuv töötlemine mõjutab oluliselt või võib oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis, peaks juhtiva asutuse rolli täitma vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus või vastutava töötleja või volitatud töötleja ainsa tegevuskoha järelevalveasutus. See asutus peaks tegema koostööd muude asjaomaste asutustega, kuna vastutava töötleja või volitatud töötleja tegevuskoht asub nende liikmesriigi territooriumil, kuna see mõjutab oluliselt nende territooriumil elavaid andmesubjekte või kuna neile on esitatud kaebus. Juhul kui kõnealuses liikmesriigis mitte elav andmesubjekt on esitanud kaebuse, peaks järelevalveasutus, kellele selline kaebus esitati, olema samuti asjaomane järelevalveasutus. Seoses oma ülesannetega anda suuniseid kõikides käesoleva määruse kohaldamist puudutavates küsimustes, peaks andmekaitsenõukogul olema võimalik välja anda suuniseid eelkõige kriteeriumide kohta, mida tuleb arvesse võtta, et teha kindlaks, kas kõnealusel töötlemisel on andmesubjektidele oluline mõju rohkem kui ühes liikmesriigis, ning mida saab pidada asjakohaseks ja põhjendatud vastuväiteks.

(125)

Juhtiv asutus peaks olema pädev võtma vastu siduvaid otsuseid meetmete kohta, millega kohaldatakse talle käesoleva määrusega antud volitusi. Juhtiva asutuse ülesannete täitmisel peaks järelevalveasutus kaasama asjaomased järelevalveasutused tihedalt otsustamisprotsessi ja koordineerima nende tegevust selles. Kui tuleb võtta vastu otsus andmesubjekti kaebus täielikult või osaliselt tagasi lükata, peaks selle otsuse vastu võtma järelevalveasutus, kellele see kaebus esitati.

(126)

Otsuses peaksid ühiselt kokku leppima juhtiv järelevalveasutus ja asjaomased järelevalveasutused ning see peaks olema suunatud vastutava töötleja ja volitatud töötleja peamisele või ainsale tegevuskohale ning olema vastutava töötleja ja volitatud töötleja jaoks siduv. Vastutav töötleja või volitatud töötleja peaksid võtma vajalikud meetmed, et tagada käesoleva määruse järgimine ning juhtiva järelevalveasutuse poolt vastutava töötleja ja volitatud töötleja peamisele tegevuskohale teatavaks tehtud liidu töötlemistegevust käsitleva otsuse rakendamine.

(127)

Järelevalveasutus, kes ei tegutse juhtiva järelevalveasutusena, peaks olema pädev käsitlema kohalikke juhtumeid, kui vastutava töötleja või volitatud töötleja tegevuskoht asub rohkem kui ühes liikmesriigis, kuid konkreetne töötlemine puudutab ainult ühes liikmesriigis toimuvat töötlemist ja hõlmab ainult selles ühes liikmesriigis asuvaid andmesubjekte, näiteks kui tegemist on töötajate isikuandmete töötlemisega asjaomase liikmesriigi konkreetses töösuhete kontekstis. Sellistel juhtudel peaks järelevalveasutus teavitama juhtivat järelevalveasutust viivitamata sellest küsimusest. Pärast teavituse saamist peaks juhtiv järelevalveasutus otsustama, kas ta tegeleb juhtumiga vastavalt juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vahelist koostööd käsitlevatele sätetele („ühtse kontaktpunkti mehhanism“) või peaks juhtumiga tegelema teda teavitanud järelevalveasutus kohalikul tasandil. Selle üle otsustamisel, kas ta tegeleb juhtumiga, peaks juhtiv järelevalveasutus arvesse võtma seda, kas teda teavitanud järelevalveasutuse liikmesriigis on vastutava töötleja või volitatud töötleja tegevuskoht, et tagada vastutava töötleja või volitatud töötleja suhtes tehtud otsuse tõhus täitmine. Kui juhtiv järelevalveasutus otsustab juhtumiga tegeleda, peaks teda teavitanud järelevalveasutusel olema võimalik esitada otsuse eelnõu, mida juhtiv järelevalveasutus peaks oma ühtse kontaktpunkti mehhanismi raames tehtava otsuse ettevalmistamisel täiel määral arvesse võtma.

(128)

Juhtivat järelevalveasutust ja ühtset kontaktpunkti mehhanismi käsitlevaid eeskirju ei peaks kohaldama juhul, kui töötlejateks on avaliku sektori või eraõiguslikud asutused avalikes huvides. Sellistel juhtudel peaks ainsaks järelevalveasutuseks, kes on pädev kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud, olema selle liikmesriigi järelevalveasutus, kus kõnealune avaliku sektori asutus või eraõiguslik asutus asub.

(129)

Selleks et tagada kogu liidus ühtlane järelevalve käesoleva määruse üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja tõhusad volitused, sealhulgas uurimis-, parandus- ja karistuste kehtestamise volitused ning loaandmis- ja nõuandvad volitused, eelkõige füüsiliste isikute esitatud kaebuste puhul, ning ilma et see piiraks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ja volitused osaleda kohtumenetlustes. Need volitused peaksid hõlmama ka õigust kehtestada ajutine või alaline töötlemispiirang, sealhulgas töötlemiskeeld. Liikmesriigid võivad kindlaks määrata muud käesoleva määruse kohased isikuandmete kaitsega seotud ülesanded. Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriikide õiguses sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul. Eelkõige peaks meede olema asjakohane, vajalik ja proportsionaalne käesoleva määruse järgimise tagamise seisukohast, võttes arvesse iga üksikjuhtumi asjaolusid; austama isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele. Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi menetlusõiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue. Järelevalveasutuse õiguslikult siduv meede peaks olema esitatud kirjalikult, olema selge ja ühemõtteline, selles peaks olema märgitud meetme esitanud järelevalveasutus ja meetme esitamise kuupäev ning järelevalveasutuse juhi või tema poolt volitatud liikme allkiri, selles tuleks esitada meetme põhjused ning osutada õigusele tõhusale õiguskaitsevahendile. See ei tohiks välistada liikmesriigi menetlusnormidest tulenevaid täiendavaid nõudeid. Selliste õiguslikult siduvate otsuste vastuvõtmine viitab võimalusele, et see võib otsuse vastu võtnud järelevalveasutuse liikmesriigis tuua kaasa kohtuliku kontrolli.

(130)

Kui järelevalveasutus, kellele kaebus esitati, ei ole juhtiv järelevalveasutus, peaks juhtiv järelevalveasutus tegema tihedat koostööd kaebuse saanud järelevalveasutusega kooskõlas käesoleva määruse koostööd ja järjepidevust käsitlevate sätetega. Sellistel juhtudel peaks juhtiv järelevalveasutus tegema õiguslike tagajärgede tekitamise eesmärgiga meetmeid võttes (sealhulgas trahve määrates) kõik, et võtta arvesse selle järelevalveasutuse seisukohta, kellele kaebus esitati ja kellele peaks jääma pädevus viia koostöös juhtiva järelevalveasutusega läbi uurimist oma liikmesriigi territooriumil.

(131)

Kui vastutava töötleja või volitatud töötleja töötlemistegevuse suhtes peaks juhtiva järelevalveasutusena tegutsema mõni muu järelevalveasutus, kuid kaebuse või võimaliku rikkumise sisu puudutab vastutava töötleja või volitatud töötleja töötlemistegevust ainult selles liikmesriigis, kus kaebus esitati või võimalik rikkumine tuvastati, ja see ei mõjuta oluliselt või tõenäoliselt ei mõjuta oluliselt andmesubjekte teistes liikmesriikides, siis peaks järelevalveasutus, kellele kaebus esitati või kes tuvastas olukorra või sai muul viisil teada olukorrast, mis võib tuua kaasa käesoleva määruse rikkumise, püüdma saavutada volitatud töötlejaga kokkuleppe ning kui see ei õnnestu, kasutama kõiki oma volitusi. See peaks hõlmama konkreetset töötlemist, mis toimub järelevalveasutuse liikmesriigi territooriumil või seoses selle liikmesriigi territooriumil asuvate andmesubjektidega; töötlemist, mis toimub seoses järelevalveasutuse liikmesriigi territooriumil asuvatele andmesubjektidele spetsiaalselt suunatud kaupade või teenuste pakkumisega; või töötlemist, mida peab hindama liikmesriigi õiguse kohaseid juriidilisi kohustusi arvestades.

(132)

Järelevalveasutuste avalikkusele suunatud teadlikkuse tõstmise meetmed peaksid hõlmama vastutavatele töötlejatele ja volitatud töötlejatele, sealhulgas mikro-, väikestele ja keskmise suurusega ettevõtjatele ning samuti füüsilistele isikutele suunatud konkreetseid meetmeid, eelkõige hariduse kontekstis.

(133)

Järelevalveasutused peaksid abistama üksteist ülesannete täitmisel ja andma vastastikust abi, et tagada käesoleva määruse järjekindel kohaldamine ja täitmine siseturul. Vastastikust abi taotlev järelevalveasutus võib võtta vastu ajutise meetme, kui ta ei ole saanud vastastikuse abi taotlusele vastust kuu aja jooksul pärast seda kui teine järelevalveautus on taotluse kätte saanud.

(134)

Järelevalveasutus peaks vajaduse korral osalema koos teiste järelevalveasutustega ühisoperatsioonides. Taotluse saanud järelevalveasutus peaks olema kohustatud taotlusele vastama konkreetse ajavahemiku jooksul.

(135)

Selleks et tagada käesoleva määruse ühtne kohaldamine kogu liidus, tuleks kehtestada järelevalveasutuste vaheliseks koostööks järjepidevuse mehhanism. Nimetatud mehhanismi tuleks eelkõige kohaldada juhul, kui järelevalveasutus kavatseb vastu võtta meetme, mille eesmärk on tekitada õiguslikke tagajärgi seoses isikuandmete töötlemise toimingutega, mis mõjutavad oluliselt märkimisväärset arvu andmesubjekte mitmes liikmesriigis. Mehhanismi tuleks kohaldada ka siis, kui mis tahes asjaomane järelevalveasutus või komisjon taotleb sellise küsimuse käsitlemist järjepidevuse mehhanismi raames. Nimetatud mehhanism ei tohiks piirata ühtegi meedet, mis komisjon võib võtta oma aluslepingutest tulenevate volituste kasutamisel.

(136)

Järjepidevuse mehhanismi kohaldamise korral peaks andmekaitsenõukogu esitama kindlaksmääratud ajavahemiku jooksul oma arvamuse, kui nii otsustatakse liikmete häälteenamusega või kui seda taotleb mis tahes asjaomane järelevalveasutus või komisjon. Andmekaitsenõukogul peaks olema samuti volitused võtta vastu õiguslikult siduvaid otsuseid järelevalveasutuste vaheliste vaidluste puhul. Sel eesmärgil peaks ta põhimõtteliselt välja andma õiguslikult siduvaid otsuseid, millel on kahe kolmandiku tema liikmete toetus, selgelt kindlaks määratud juhtudel, kui järelevalveasutustel esineb lahkarvamusi, eelkõige juhtiva järelevalveasutuse ja asjaomaste järelevalveasutuste vahelise koostöökorra raames seoses juhtumi sisuga, nimelt küsimuses, kas käesolevat määrust on rikutud.

(137)

Selleks et kaitsta andmesubjektide õigusi ja vabadusi, võib olla vaja tegutseda kiiresti, eriti siis, kui on olemas oht, et andmesubjekti õiguse kasutamise võimalus võib olla oluliselt takistatud. Järelevalveasutusel peaks seega olema võimalik võtta oma liikmesriigi territooriumil vastu asjakohaselt põhjendatud ajutisi meetmeid kindlaksmääratud kehtivusajaga, mis ei tohiks olla pikem kui kolm kuud.

(138)

Sellise mehhanismi kohaldamine peaks olema järelevalveasutuse sellise meetme seaduslikkuse tingimuseks, mille eesmärk on tekitada õiguslikke tagajärgi, kui selle rakendamine on kohustuslik. Muudel piiriülese tähtsusega juhtudel tuleks kohaldada juhtiva järelevalveasutuse ja asjaomaste järelevalveasutuste vahelist koostöökorda ning asjaomaste järelevalveasutuste vahel võiks pakkuda vastastikust abi ja teostada ühisoperatsioone kahe- või mitmepoolsel alusel, ilma järjepidevuse mehhanismi kasutamata.

(139)

Käesoleva määruse ühtse kohaldamise huvides tuleks luua andmekaitsenõukogu sõltumatu liidu ametina. Oma eesmärkide täitmiseks peaks andmekaitsenõukogul olema juriidilise isiku staatus. Andmekaitsenõukogu peaks esindama selle eesistuja. Andmekaitsenõukogu peaks asendama direktiivi 95/46/EÜ alusel loodud töörühma füüsiliste isikute kaitseks seoses isikuandmete töötlemisega. Sinna peaksid kuuluma liikmesriigi järelevalveasutuse juht ja Euroopa andmekaitseinspektor või nende vastavad esindajad. Komisjon peaks osalema andmekaitsenõukogu tegevuses ilma hääleõiguseta ja Euroopa andmekaitseinspektoril peaks olema kindlaksmääratud hääleõigus. Andmekaitsenõukogu peaks aitama kaasa käesoleva määruse ühtsele kohaldamisele kogu liidus, sealhulgas nõustades komisjoni, eelkõige seoses kolmandate riikide või rahvusvaheliste organisatsioonide isikuandmete kaitse tasemega, ning edendades järelevalveasutuste koostööd kogu liidus. Andmekaitsenõukogu peaks täitma oma ülesandeid sõltumatult.

(140)

Andmekaitsenõukogu peaks abistama sekretariaat, kelle töö tagab Euroopa Andmekaitseinspektor. Andmekaitseinspektori töötajad, kes on seotud andmekaitsenõukogule käesoleva määrusega antud ülesannete täitmisega, peaksid oma ülesannete täitmisel järgima ainult andmekaitsenõukogu eesistuja juhiseid ja talle alluma.

(141)

Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva määruse kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile. Järelevalveasutus peaks võtma meetmed kaebuste esitamise lihtsustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, ilma muude sidevahendite kasutamist välistamata.

(142)

Kui andmesubjekt leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada mittetulunduslikku laadi asutust, organisatsiooni või ühingut, mis on loodud kooskõlas liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb isikuandmekaitse valdkonnas, esitama tema nimel järelevalveasutusele kaebust või kasutama andmesubjektide nimel õigust õiguskaitsevahendile või kasutama andmesubjektide nimel õigust saada hüvitist, kui hüvitis on asjaomase liikmesriigi õiguses ette nähtud. Liikmesriigid võivad sätestada, et sellisel asutusel, organisatsioonil või ühingul oleks õigus esitada andmesubjekti poolsest volitamisest sõltumata sellises liikmesriigis kaebus ja tal peaks olema õigus tõhusale õiguskaitsevahendile, kui tal on põhjust arvata, et andmesubjekti õigusi on rikutud isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Sellisele asutusele, organisatsioonile või ühingule ei või anda õigust nõuda andmesubjekti nimel hüvitist, kui andmesubjekt ei ole selleks volitust andnud.

(143)

Igal füüsilisel või juriidilisel isikul on õigus esitada Euroopa Kohtule andmekaitsenõukogu otsuste tühistamiseks hagi ELi toimimise lepingu artiklis 263 sätestatud tingimustel. Kui selliste otsuste adressaadiks olevad asjaomased järelevalveasutused soovivad esitada hagi otsuste tühistamiseks, peavad nad tegema seda kooskõlas ELi toimimise lepingu artikliga 263 kahe kuu jooksul alates sellest, kui otsused neile teatavaks tehti. Kui andmekaitsenõukogu otsused puudutavad otseselt ja isiklikult vastutavat töötlejat, volitatud töötlejat või kaebuse esitajat, võivad nad esitada hagi selliste otsuste tühistamiseks kooskõlas ELi toimimise lepingu artikliga 263 kahe kuu jooksul alates asjaomaste otsuste avaldamisest andmekaitsenõukogu veebisaidil. Ilma et see piiraks seda ELi toimimise lepingu artiklist 263 tulenevat õigust, peaks igal füüsilisel või juriidilisel isikul olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on selle isiku suhtes õiguslikud tagajärjed. Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Õigus tõhusale õiguskaitsevahendile ei hõlma siiski järelevalveasutuste õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid. Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi menetlusõigusega. Nendel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud.

Kui järelevalveasutus jätab kaebuse rahuldamata või lükkab selle tagasi, võib kaebuse esitaja esitada hagi samas liikmesriigis asuvatele kohtutele. Käesoleva määruse kohaldamisega seotud õiguskaitsevahendite osas võivad liikmesriigi kohtud taotleda, või ELi toimimise lepingu artiklis 267 ette nähtud juhtumil, peavad liikmesriigi kohtud taotlema Euroopa Kohtult eelotsust liidu õiguse, sealhulgas käesoleva määruse tõlgendamise küsimuses, kui nad on seisukohal, et kohtuotsuse tegemiseks on vaja sellekohast otsust. Kui järelevalveasutuse otsus, millega rakendatakse andmekaitsenõukogu otsust, vaidlustatakse riiklikus kohtus ja küsimuseks on andmekaitsenõukogu otsuse kehtivus, ei ole kõnealusel riiklikul kohtul õigust kuulutada andmekaitsenõukogu otsust õigustühiseks, vaid ta peab esitama kehtivuse küsimuse Euroopa Kohtule kooskõlas ELi toimimise lepingu artikliga 267, nii nagu seda on tõlgendanud Euroopa Kohus, juhul kui ta peab otsust õigustühiseks. Riiklik kohus ei saa siiski esitada andmekaitsenõukogu otsuse kehtivust puudutavat küsimust füüsilise või juriidilise isiku taotlusel, kellel oli võimalus esitada hagi kõnealuse otsuse tühistamiseks, eelkõige juhul, kui see otsus teda otseselt ja isiklikult puudutas, kuid ELi toimimise lepingu artiklis 263 sätestatud ajavahemiku jooksul ta seda ei teinud.

(144)

Kui kohtul, kus algatati menetlus järelevalveasutuse otsuse vastu, on põhjust arvata, et teise liikmesriigi pädevas kohtus on algatatud menetlus seoses sama töötlemisega, näiteks sama vastutava töötleja või volitatud töötleja töötlemistegevusega seotud samas asjas või kasutades sama hagi alust, peaks ta võtma ühendust selle kohtuga, et kinnitada sellise seotud menetluse olemasolu. Kui need seotud menetlused on käimas teise liikmesriigi kohtus, võib mis tahes kohus, välja arvatud kohus, kuhu pöörduti esimesena, peatada oma menetluse, või võib ühe osapoole taotlusel loobuda pädevusest esimesena hagi saanud kohtu kasuks, kui nimetatud kohtul on kõnealuse menetluse suhtes pädevus ja tema asukohariigi õigus võimaldab selliste seotud menetluste liitmist. Menetlused loetakse omavahel seotuks, kui nad on sedavõrd tihedalt seotud, et eri menetlustest tulenevate vastuoluliste otsuste ohu vältimiseks oleks soovitav neid menetleda ning otsuseid teha üheskoos.

(145)

Vastutava töötleja või volitatud töötleja vastase hagi korral peaks hagejal olema võimalik esitada hagi kohtule liikmesriigis, kus on vastutava töötleja või volitatud töötleja tegevuskoht, või andmesubjekti elukohariigis, välja arvatud juhul, kui vastutav töötleja on liikmesriigi avaliku sektori asutus, kes teostab oma avalikku võimu.

(146)

Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas. Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid. Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab see samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. Kui vastutavad töötlejad või volitatud töötlejad on seotud sama töötlemisega, tuleks vastutav töötleja või volitatud töötleja võtta vastutusele kogu kahju eest. Ent kui nad on kooskõlas liikmesriigi õigusega ühendatud sama kohtumenetlusega, võib hüvitamise jagada vastavalt vastutava töötleja või volitatud töötleja vastutusele töötlemisel tekitatud kahju eest, tingimusel et tagatud on andmesubjekti kantud kahju täielik ja tõhus hüvitamine. Vastutav töötleja või volitatud töötleja, kes on maksnud täieliku hüvitise, võib hiljem algatada regressihagi teiste sama töötlemisega seotud vastutavate töötlejate või volitatud töötlejate vastu.

(147)

Kui käesolevas määruses sisalduvad konkreetsed kohtualluvuse eeskirjad, eelkõige seoses menetlustega, kus vastutava töötleja või volitatud töötleja suhtes kasutatakse hüvitisega õiguskaitsevahendit, ei peaks üldise kohtualluvuse eeskirjad, nagu Euroopa Parlamendi ja nõukogu määruses (EL) nr 1215/2012 (13) sisalduvad eeskirjad, mõjutama selliste konkreetsete eeskirjade kohaldamist.

(148)

Käesoleva määruse eeskirjade täitmise tagamiseks tuleks käesoleva määruse igasuguse rikkumise eest määrata karistusi, sealhulgas trahve lisaks käesoleva määruse kohaselt järelevalveasutuse poolt kehtestatud asjakohastele meetmetele või nende asemel. Väiksema õigusrikkumise puhul või kui tõenäoliselt määratav trahv kujutaks endast füüsilise isiku jaoks ebaproportsionaalset koormust, võib trahvi asemel teha noomituse. Asjakohast tähelepanu tuleks aga pöörata rikkumise laadile, raskusele ja kestusele, rikkumise tahtlikkusele, tekitatud kahju leevendamiseks võetud meetmetele, vastutusastmele või asjakohastele eelnevatele rikkumistele, viisile, kuidas rikkumine sai järelevalveasutusele teatavaks, kooskõlale vastutava töötleja või volitatud töötleja suhtes võetud meetmetega, toimimisjuhendi järgimisele ning muudele raskendavatele või kergendavatele teguritele. Karistuste, sealhulgas trahvide määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja hartaga kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitset ja nõuetekohast menetlust.

(149)

Liikmesriikidel peaks olema võimalik kehtestada käesoleva määruse, sealhulgas käesoleva määruse kohaselt ja piires vastu võetud liikmesriigi õigusnormide, rikkumise eest kohaldatavaid kriminaalkaristusi käsitlevaid eeskirju. Need kriminaalkaristused võivad hõlmata käesoleva määruse rikkumisega saadud kasu äravõtmist. Kriminaalkaristuste määramine selliste liikmesriigi normide rikkumise eest ja väärteokaristuste määramine ei tohiks aga rikkuda ne bis in idem põhimõtet, nagu seda on tõlgendanud kohus.

(150)

Selleks et tugevdada ja ühtlustada väärteokaristusi käesoleva määruse rikkumise korral, peaksid igal järelevalveasutusel olema volitused määrata trahve. Käesolevas määruses tuleks loetleda rikkumised, sätestada asjaomaste trahvide ülemmäär ja nende määramise kriteeriumid, mille üle peaks iga juhtumi puhul eraldi otsustama pädev järelevalveasutus, võttes arvesse konkreetse olukorra kõiki asjakohaseid asjaolusid, pidades eelkõige silmas rikkumise laadi, raskusastet, ajalist kestvust ja tagajärgi ning meetmeid, mis võetakse käesoleva määruse kohaste kohustuste täitmise tagamiseks ja rikkumise tagajärgede vältimiseks või leevendamiseks. Kui trahv on määratud ettevõtjale, tuleks ettevõtja määratlemisel lähtuda ELi toimimise lepingu artiklites 101 ja 102 toodud määratlusest. Kui trahvid määratakse isikule, kes ei ole ettevõtja, peaks järelevalveasutus sobiva trahvisumma määramisel arvesse võtma üldist sissetulekutaset selles liikmesriigis ja isiku majanduslikku olukorda. Trahvide ühesuguse kohaldamise parandamiseks võib kasutada ka järjepidevuse mehhanismi. See, kas ja kui palju tuleks avaliku sektori asutustele määrata trahve, peaks olema liikmesriikide otsustada. Trahvi määramine või hoiatuse tegemine ei mõjuta järelevalveasutuse muude volituste rakendamist ega muude määruse kohaste karistuste määramist.

(151)

Taani ja Eesti õigussüsteem ei võimalda määrata trahve käesolevas määruses sätestatu kohaselt. Trahve käsitlevaid eeskirju saab kohaldada selliselt, et Taanis määrab trahvi pädev riiklik kohus kriminaalkaristusena ning Eestis määrab trahvi järelevalveasutus väärteomenetluse raames, tingimusel et eeskirjade sellisel kohaldamisel nimetatud liikmesriikides on samaväärne toime nagu järelevalveasutuste määratud trahvidel. Sellepärast peaksid pädevad riiklikud kohtud võtma arvesse trahvi algatava järelevalveasutuse soovitust. Igal juhul peaksid määratavad trahvid olema tõhusad, proportsionaalsed ja heidutavad.

(152)

Kui käesolevas määruses ei ühtlustata väärteokaristusi või vajaduse korral muudel juhtudel, näiteks määruse tõsise rikkumise puhul, peaksid liikmesriigid rakendama süsteemi, mis näeb ette tõhusad, proportsionaalsed ja heidutavad karistused. Selliste karistuste laad, kriminaal- või väärteokaristus, tuleks kindlaks määrata liikmesriigi õigusega.

(153)

Liikmesriikide õiguses tuleks omavahel viia vastavusse eeskirjad, mis reguleerivad sõna- ja teabevabadust, sealhulgas ajakirjanduslikku, akadeemilist, kunstilist või kirjanduslikku eneseväljendust, ja käesoleva määruse kohane õigus isikuandmete kaitsele. Juhul kui isikuandmeid töödeldakse üksnes ajakirjanduslikul eesmärgil või akadeemilise, kunstilise või kirjandusliku eneseväljenduse eesmärgil, tuleks vajaduse korral kohaldada erandeid või vabastusi käesoleva määruse teatavatest sätetest, et viia omavahel vastavusse isikuandmete kaitse õigus ning sõna- ja teabevabadus, mis on sätestatud harta artikliga 11. Seda tuleks kohaldada eelkõige audiovisuaalvaldkonnas isikuandmete töötlemise suhtes ning uudiste arhiivide ja perioodikaraamatukogude puhul. Seepärast peaksid liikmesriigid vastu võtma seadusandlikud meetmed, millega kehtestatakse vabastused ja erandid, mis on vajalikud nimetatud põhiõiguste tasakaalustamiseks. Liikmesriigid peaksid sellised vabastused ja erandid vastu võtma üldpõhimõtete, andmesubjekti õiguste, vastutava töötleja ja volitatud töötleja, isikuandmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamise, sõltumatute järelevalveasutuste, koostöö ja ühtsuse ning andmete töötlemise eriolukordade kohta. Kui sellised vabastused või erandid on liikmesriigiti erinevad, tuleks kohaldada selle liikmesriigi õigust, mida kohaldatakse vastutava töötleja suhtes. Selleks et võtta arvesse sõnavabadusõiguse tähtsust igas demokraatlikus ühiskonnas, tuleb tõlgendada selle vabadusega seonduvaid kontseptsioone, näiteks ajakirjandust, laialt.

(154)

Käesoleva määruse kohaldamisel on võimalik arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet. Üldsuse juurdepääsu ametlikele dokumentidele võib käsitleda avaliku huvina. Avaliku sektori asutuse või organi valduses olevates dokumentides sisalduvaid isikuandmeid peaks sel asutusel olema võimalik avalikustada siis, kui avalikustamine on ette nähtud liidu õiguses või selle liikmesriigi õiguses, kellele kõnealune avaliku sektori asutus või organ allub. Selliste õigusaktidega tuleks üldsuse juurdepääs ametlikele dokumentidele ja avaliku sektori valduses oleva teabe taaskasutamine viia vastavusse õigusega isikuandmete kaitsele ning nendega võib seega näha ette vajaliku vastavusseviimise õigusega isikuandmete kaitsele vastavalt käesolevale määrusele. Viide avaliku sektori asutustele ja organitele peaks selles kontekstis hõlmama kõiki asutusi või muid organeid, mida reguleeritakse dokumentidele üldsuse juurdepääsu käsitleva liikmesriigi õigusega. Euroopa Parlamendi ja nõukogu direktiiv 2003/98/EÜ (14) ei kahjusta ega mõjuta füüsiliste isikute kaitse taset isikuandmete töötlemisel, nagu see on ette nähtud liidu ja liikmesriigi õigusega, ning eelkõige ei muuda see käesolevas määruses sätestatud kohustusi ja õigusi. Eelkõige ei tohiks kõnealust direktiivi kohaldada selliste dokumentide suhtes, millele juurdepääs on välistatud või piiratud juurdepääsukorraga isikuandmete kaitse tõttu, ning dokumentide osade suhtes, mis on selle korra alusel juurdepääsetavad ning sisaldavad isikuandmeid, mille taaskasutamine on seaduses sätestatud sellise õigusakti rikkumisena, millega reguleeritakse füüsiliste isikute kaitset isikuandmete töötlemisel.

(155)

Liikmesriigi õiguses või kollektiivlepingutes (sealhulgas ettevõttesisesed lepingud) võib ette näha erieeskirjad, millega reguleeritakse töötajate isikuandmete töötlemist töösuhete kontekstis, eelkõige tingimused, mille kohaselt võib töösuhete kontekstis isikuandmeid töödelda töötaja nõusolekul, seoses töötajate värbamisega, töölepingu, sealhulgas õigusaktides või kollektiivlepingutes sätestatud kohustuste täitmisega, juhtimisega, töö kavandamise ja korraldamisega, võrdsuse ja mitmekesisusega töökohal, töötervishoiu ja tööohutusega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ja töösuhte lõppemisega.

(156)

Avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil toimuva isikuandmete töötlemise suhtes tuleks kohaldada kooskõlas käesoleva määrusega asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks. Nende kaitsemeetmetega tuleks tagada tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Isikuandmete edasine töötlemine avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil peab toimuma siis, kui vastutav töötleja on hinnanud nende eesmärkide täitmise teostatavust, töödeldes isikuandmeid, mis ei võimalda või enam ei võimalda andmesubjekte tuvastada, tingimusel et olemas on asjakohased kaitsemeetmed (näiteks isikuandmete pseudonümiseerimine). Liikmesriigid peaksid kehtestama asjakohased kaitsemeetmed isikuandmete töötlemisele, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil. Liikmesriikidel peaks olema õigus määrata konkreetsetel tingimustel ja andmesubjektidele mõeldud asjakohaste kaitsemeetmete olemasolul spetsifikatsioonid ja erandid seoses teabenõuetega, õigusega andmeid parandada ja kustutada, õigusega olla unustatud, andmete töötlemise piiranguga ja andmete ülekandmise õigusega ning õigusega esitada vastuväiteid isikuandmete töötlemisel, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil. Kõnealused tingimused ja kaitsemeetmed võivad sisaldada andmesubjektidele mõeldud konkreetseid menetlusi nende õiguste kasutamiseks, kui see on asjakohane konkreetse töötlemise eesmärkide alusel, ning tehnilisi ja korralduslikke meetmeid, mille eesmärk on vähendada miinimumini isikuandmete töötlemist kooskõlas proportsionaalsuse ja vajalikkuse põhimõttega. Isikuandmete töötlemine teadusuuringute eesmärgil peaks samuti olema kooskõlas muude asjakohaste õigusaktidega, näiteks kliinilisi uuringuid käsitlevate õigusaktidega.

(157)

Registritest saadava teabe sidumise teel võivad teadlased saada uusi väärtuslikke teadmisi näiteks selliste laialtlevinud terviseseisundite kohta nagu südame-veresoonkonna haigused, vähk ja depressioon jne. Registrite alusel saab uuringutulemusi parendada, kuna need saadakse suuremast valimist. Sotsiaalteaduste valdkonnas võimaldavad registritel põhinevad teadusuuringud teadlastel saada olulisi teadmisi paljude sotsiaalsete tingimuste nagu näiteks töötus, ja haridus pikaajalisest vastavusest muude elutingimustega. Registrite alusel saadud uuringutulemused annavad usaldusväärseid ja kvaliteetseid teadmisi, mis võivad olla aluseks teadmistepõhise poliitika sõnastamisele ja rakendamisele, parandada paljude inimeste elukvaliteeti ja suurendada sotsiaalteenuste tõhusust. Teadusuuringute hõlbustamiseks võib isikuandmeid töödelda teadusuuringute eesmärgil, mille suhtes kohaldatakse asjakohaseid tingimusi ja kaitsemeetmeid, mis on sätestatud liidu või liikmesriigi õiguses.

(158)

Kui isikuandmeid töödeldakse arhiveerimise eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes, pidades silmas, et käesolevat määrust ei tuleks kohaldada surnuid puudutavate isikuandmete suhtes. Avaliku sektori asutustel või avalik-õiguslikel või eraõiguslikel organitel, kellel on avalikku huvi pakkuvad andmed, peaksid olema teenistused, kellel on kooskõlas liidu või liikmesriigi õigusega juriidiline kohustus omandada, säilitada, hinnata, korraldada, kirjeldada, edendada ja levitada üldist avalikku huvi pakkuvaid püsiva väärtusega andmeid ning anda nende kohta teavet ja tagada neile juurdepääs. Liikmesriikidel peaks samuti olema lubatud ette näha isikuandmete täiendavat täiendavat töötlemist arhiveerimise eesmärgil näiteks selleks, et anda konkreetset teavet seoses endise totalitaarse riigikorra tingimustes toimunud poliitilise tegevuse, genotsiidi, inimsusevastaste kuritegude, eelkõige holokausti, või sõjakuritegudega.

(159)

Kui isikuandmeid töödeldakse teadusuuringute eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes. Käesoleva määruse tähenduses tuleks teadusuuringute eesmärgil toimuvat isikuandmete töötlemist tõlgendada laialt nii, et see hõlmab näiteks tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid. Lisaks tuleks seejuures arvesse võtta ELi toimimise lepingu artikli 179 lõikes 1 sätestatud liidu eesmärki luua Euroopa teadusruum. Teadusuuringute eesmärk peaks hõlmama ka rahvatervise valdkonnas avalikust huvist lähtuvalt tehtud uuringuid. Teadusuuringute eesmärgil isikuandmete töötlemise eripära arvessevõtmiseks tuleks kohaldada eritingimusi eelkõige seoses isikuandmete avaldamise või muul viisil avalikustamisega teadusuuringute eesmärgi kontekstis. Kui teadusuuringute tulemus eelkõige tervishoiu kontekstis loob aluse täiendavateks meetmeteks andmesubjekti huvides, tuleks nende meetmete suhtes kohaldada käesoleva määruse üldiseid eeskirju.

(160)

Kui isikuandmeid töödeldakse ajaloouuringute eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes. See peaks hõlmama ka ajaloouuringuid ja genealoogilisi uuringuid, pidades silmas, et käesolevat määrust ei tuleks kohaldada surnute suhtes.

(161)

Kliinilisi uuringuid hõlmavates teadusuuringutes osalemiseks nõusoleku küsimiseks tuleks kohaldada Euroopa Parlamendi ja nõukogu määruse (EL) nr 536/2014 (15) asjakohaseid sätteid.

(162)

Kui isikuandmeid töödeldakse statistilisel eesmärgil, tuleks käesolevat määrust kohaldada sellise töötlemise suhtes. Liidu või liikmesriigi õiguses tuleks käesoleva määruse piires määrata kindlaks statistiline sisu, juurdepääsukontroll, statistilisel eesmärgil andmete töötlemise spetsifikatsioonid ja asjakohased meetmed, et kaitsta andmesubjekti õigusi ja vabadusi ning tagada statistika konfidentsiaalsus. Statistiline eesmärk tähendab kõiki isikuandmete kogumise ja töötlemise toiminguid, mis on vajalikud statistikauuringute või statistika koostamise jaoks. Koostatud statistikat võib edasi kasutada muudel eesmärkidel, sealhulgas teadusuuringute eesmärgil. Statistiline eesmärk eeldab, et statistilisel eesmärgil toimuva töötlemise tulemus ei ole isikuandmed, vaid koondandmed, ning et seda tulemust või isikuandmeid ei kasutata ühtegi konkreetset füüsilist isikut puudutavate meetmete või otsuste toetamiseks.

(163)

Konfidentsiaalne teave, mida liidu ja riiklikud statistikaasutused koguvad Euroopa ja riikliku ametliku statistika koostamiseks, peaks olema kaitstud. Euroopa statistikat tuleks arendada, koostada ja levitada kooskõlas statistikaalaste põhimõtetega, mis on sätestatud ELi toimimise lepingu artikli 338 lõikes 2, samas kui riiklik statistika peaks olema kooskõlas ka liikmesriigi õigusega. Euroopa statistika statistiliste andmete konfidentsiaalsust on täiendavalt täpsustatud Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 223/2009 (16).

(164)

Seoses järelevalveasutuste volitustega saada vastutavalt töötlejalt või volitatud töötlejalt juurdepääs isikuandmetele ning ruumidele, võivad liikmesriigid õigusaktiga ja käesoleva määruse piires vastu võtta konkreetseid eeskirju, et kaitsta ameti- või muu samaväärse saladuse hoidmise kohustusi niivõrd, kuivõrd see on vajalik isikuandmete kaitse õiguse ühildamiseks ametisaladuse hoidmise kohustusega. See ei piira liikmesriikide olemasolevaid kohustusi võtta vastu eeskirju ametisaladuse hoidmise kohta, kui see on nõutav liidu õigusega.

(165)

Käesoleva määrusega austatakse ega piirata staatust, mis kehtivate riigiõiguslike normide kohaselt on liikmesriikides kirikutel ja usuühendustel või -kogukondadel, nagu on sätestatud ELi toimimise lepingu artiklis 17.

(166)

Selleks et täita käesoleva määruse eesmärke, täpsemalt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ja tagada liidus isikuandmete vaba liikumine, tuleks komisjonile anda ELi toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte. Eelkõige tuleks võtta vastu delegeeritud õigusaktid sertifitseerimismehhanismide kriteeriumide ja nõuete, standardsete ikoonide kujul esitatava teabe ning selliste ikoonide esitamise korra kohta. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil. Komisjon peaks delegeeritud õigusaktide ettevalmistamise ja koostamise ajal tagama asjakohaste dokumentide sama- ja õigeaegse ning asjakohase edastamise Euroopa Parlamendile ja nõukogule.

(167)

Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks komisjonile anda käesolevas määruses sätestatud rakendusvolitused. Kõnealuseid volitusi tuleks kasutada vastavalt määrusele (EL) nr 182/2011. Seejuures peaks komisjon kaaluma konkreetsete meetmete kehtestamist mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks.

(168)

Kontrollimenetlust tuleks kasutada järgmiste rakendusaktide vastuvõtmiseks: vastutavate töötlejate ja volitatud töötlejate vaheliste ning volitatud töötlejate omavaheliste lepingute tüüptingimusi käsitlevad rakendusaktid; toimimisjuhendid; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, territooriumi või kindlaksmääratud sektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; standardsed kaitseklauslid; vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise elektroonilise teabevahetuse vormid ja menetlused siduvate kontsernisiseste eeskirjade jaoks; ja vastastikune abi; järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korraldus, arvestades, et need on üldise iseloomuga.

(169)

Komisjon peaks vastu võtma viivitamata kohaldatavad rakendusaktid, kui kättesaadavatest tõenditest selgub, et kolmanda riigi, territooriumi või kindlaksmääratud sektori või rahvusvahelise organisatsiooni isikuandmete kaitse on ebapiisava tasemega, ning kui see on vajalik eriti kiireloomulistel juhtudel.

(170)

Kuna käesoleva määruse eesmärki, nimelt tagada kogu liidus füüsiliste isikute kaitse võrdväärne tase ja isikuandmete vaba liikumine, ei suuda liikmesriigid piisavalt saavutada, küll aga saab seda selle ulatuse ja toime tõttu on paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu (ELi leping) artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärgi saavutamiseks vajalikust kaugemale.

(171)

Direktiiv 95/46/EÜ tuleks tunnistada käesoleva määrusega kehtetuks. Käesoleva määruse kohaldamise alguskuupäeval juba teostatav töötlemine tuleks viia käesoleva määrusega kooskõlla kahe aasta jooksul pärast käesoleva määruse jõustumist. Kui töödeldakse direktiivi 95/46/EÜ kohase nõusoleku alusel, ei ole, juhul kui nõusolek on antud kooskõlas käesoleva määruste tingimustega, andmesubjektil vaja oma nõusolekut uuesti anda selleks, et vastutav töötleja saaks jätkata sellist töötlemist pärast käesoleva määruse kohaldamise alguskuupäeva. Direktiivi 95/46/EÜ alusel komisjoni vastu võetud otsused ja järelevalveasutuste antud load jäävad kehtima nende muutmise, asendamise või kehtetuks tunnistamiseni.

(172)

Euroopa Andmekaitseinspektoriga konsulteeriti vastavalt määruse (EÜ) nr 45/2001 artikli 28 lõikele 2 ning ta esitas oma arvamuse 7. märtsil 2012. aastal (17).

(173)

Käesolevat määrust tuleks kohaldada kõigil isikuandmete töötlemise valdkonna põhiõiguste ja -vabaduste kaitsmisega seotud juhtudel, mille suhtes ei kohaldata sama eesmärgiga konkreetseid kohustusi, mis on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 2002/58/EÜ (18), sealhulgas vastutava töötleja kohustusi ja füüsiliste isikute õigusi. Käesoleva määruse ja direktiivi 2002/58/EÜ seose täpsustamiseks tuleks direktiivi vastavalt muuta. Pärast käesoleva määruse vastuvõtmist tuleks direktiiv 2002/58/EÜ läbi vaadata, eelkõige selleks, et tagada kooskõla käesoleva määrusega,

a)

isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;

b)

liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse;

c)

isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus;

d)

isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.

a)

liidus asuvatele andmesubjektidele kaupade ja teenuste pakkumisega, olenemata sellest, kas andmesubjekt peab maksma tasu, või

b)

nende tegevuse jälgimisega, kui see tegevus toimub liidus.

a)

kui vastutaval töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja liidus asuvas muus tegevuskohas ning sellel tegevuskohal on volitused neid otsuseid rakendada – sellisel juhul loetakse peamiseks tegevuskohaks tegevuskohta, kus sellised otsused vastu võetakse;

b)

kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus või kui volitatud töötlejal ei ole juhatust liidus, siis volitatud töötleja tegevuskoht liidus, kus toimub peamine töötlemistegevus seoses volitatud töötleja tegevusega sellises ulatuses, et volitatud töötleja suhtes kehtivad käesoleva määruse kohased konkreetsed kohustused;

a)

vastutava töötleja või volitatud töötleja tegevuskoht asub kõnealuse järelevalveasutuse liikmesriigi territooriumil;

b)

asjaomase järelvalveasutuse liikmesriigis elavad andmesubjektid on töötlemisest oluliselt või tõenäoliselt oluliselt mõjutatud või

c)

kõnealusele järelevalveasutusele on esitatud kaebus;

a)

isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või

b)

isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis;

a)

töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)

isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)

isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

f)

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

a)

andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

b)

isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

c)

isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks;

d)

isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;

e)

isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

f)

isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.

a)

liidu õigusega või

b)

vastutava töötleja suhtes kohaldatava liikmesriigi õigusega.

a)

seost nende eesmärkide, mille jaoks isikuandmeid koguti, ja kavandatava edasise töötlemise eesmärkide vahel;

b)

isikuandmete kogumise konteksti, eelkõige andmesubjektide ja vastutava töötleja vahelist seost;

c)

isikuandmete laadi, eelkõige seda, kas töödeldakse isikuandmete eriliike vastavalt artiklile 9 või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmeid vastavalt artiklile 10;

d)

kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks;

e)

asjakohaste kaitsemeetmete olemasolu, milleks võivad olla näiteks krüpteerimine ja pseudonümiseerimine.

a)

andmesubjekt on andnud selgesõnalise nõusoleku nende isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada;

b)

töötlemine on vajalik seoses vastutava töötleja või andmesubjekti tööõigusest ning sotsiaalkindlustuse ja sotsiaalkaitse valdkonna õigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega või liikmesriigi õiguse kohase kollektiivlepinguga, millega kehtestatakse asjakohased kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitseks;

c)

töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;

d)

töödeldakse poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusühingu õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning tingimusel, et töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning et isikuandmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta;

e)

töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud;

f)

töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks või juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni;

g)

töötlemine on vajalik olulise avaliku huviga seotud põhjustel liidu või liikmesriigi õiguse alusel ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ja tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks;

h)

töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks, tuginedes liidu või liikmesriigi õigusele või tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et lõikes 3 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud;

i)

töötlemine on vajalik rahvatervise valdkonna avalikes huvides, nagu kaitse suure piiriülese terviseohu korral või kõrgete kvaliteedi- ja ohutusnõuete tagamine tervishoiu ning ravimite või meditsiiniseadmete puhul, tuginedes liidu või liikmesriigi õigusele, millega nähakse ette sobivad ja konkreetsed meetmed andmesubjekti õiguste ja vabaduste kaitseks, eelkõige ametisaladuse hoidmine,

j)

töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 83 lõikele 1, tuginedes liidu või liikmesriigi õigusele, ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ning tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks.

a)

küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või

b)

keelduda taotletud meetmete võtmisest.

a)

vastutava töötleja ning kui kohaldatav, siis vastutava töötleja esindaja nimi ja kontaktandmed;

b)

asjakohasel juhul andmekaitseametniku kontaktandmed;

c)

isikuandmete töötlemise eesmärk ja õiguslik alus;

d)

kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

e)

asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta,

f)

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandale riigile või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

a)

isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)

teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist või esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

c)

kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust;

d)

teave õiguse kohta esitada kaebus järelevalveasutusele;

e)

teave selle kohta, kas isikuandmete esitamine on õigusaktist või lepingust tulenev kohustus või lepingu sõlmimiseks vajalik nõue, samuti selle kohta, kas andmesubjekt on kohustatud kõnealuseid isikuandmeid esitama, ning selliste andmete esitamata jätmise võimalike tagajärgede kohta, ning

f)

teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

a)

vastutava töötleja ning asjakohasel juhul vastutava töötleja esindaja nimi ja kontaktandmed;

b)

asjakohasel juhul andmekaitseametniku kontaktandmed;

c)

isikuandmete töötlemise eesmärk ja õiguslik alus;

d)

asjaomaste isikuandmete liigid;

e)

asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

f)

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

a)

isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)

kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

c)

teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist ning esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

d)

kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud isikuandmete töötlemise seaduslikkust;

e)

teave õiguse kohta esitada kaebus järelevalveasutusele;

f)

teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest,

g)

teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

a)

mõistliku aja jooksul pärast isikuandmete saamist, kuid hiljemalt ühe kuu jooksul, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, või

b)

kui isikuandmeid kasutatakse andmesubjekti teavitamiseks, siis hiljemalt asjaomase andmesubjekti esmakordse teavitamise ajal, või

c)

kui isikuandmeid kavatsetakse avaldada teisele vastuvõtjale, siis hiljemalt andmete esimese avaldamise ajal.

a)

andmesubjektil on see teave juba olemas;

b)

selle teabe esitamine osutub võimatuks või eeldaks ebaproportsionaalseid jõupingutusi, eelkõige kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, eeldusel, et artikli 89 lõikes 1 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, või sel määral mil käesoleva artikli lõikes 1 osutatud kohustus tõenäoliselt muudab sellise isikuandmete töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral. Sellistel juhtudel võtab vastutav töötleja asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks, sealhulgas teeb teabe avalikult kättesaadavaks;

c)

isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks, või

d)

isikuandmed peavad jääma salajaseks liidu või liikmesriigi õigusega reguleeritava ametisaladuse hoidmise kohustuse, sealhulgas põhikirjajärgse saladuse hoidmise kohustuse tõttu.

a)

töötlemise eesmärk;

b)

asjaomaste isikuandmete liigid;

c)

vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)

kui võimalik, siis kavandatav isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

e)

teave õiguse kohta taotleda vastutavalt töötlejalt andmesubjekti puudutavate isikuandmete parandamist, kustutamist või töötlemise piiramist või esitada vastuväide sellisele isikuandmete töötlemisele;

f)

teave õiguse kohta esitada kaebus järelevalveasutusele;

g)

kui isikuandmeid ei koguta andmesubjektilt, siis olemasolev teave nende allika kohta;

h)

teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

a)

isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

b)

andmesubjekt võtab töötlemiseks antud nõusoleku tagasi vastavalt artikli 6 lõike 1 punktile a või artikli 9 lõike 2 punktile a ning puudub muu õiguslik alus isikuandmete töötlemiseks;

c)

andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt ja töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid või andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 2 kohaselt;

d)

isikuandmeid on töödeldud ebaseaduslikult;

e)

isikuandmed tuleb kustutada selleks, et täita vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud juriidilist kohustust;

f)

isikuandmeid koguti seoses artikli 8 lõikes 1 osutatud infoühiskonna teenuste pakkumisega.

a)

sõna- ja teabevabaduse õiguse teostamiseks;

b)

selleks, et täita vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud juriidilist kohustust, mis näeb ette isikuandmete töötlemise, või täita avalikes huvides olevat ülesannet või teostada vastutava töötleja avalikku võimu;

c)

rahvatervise valdkonnas avaliku huviga seotud põhjustel kooskõlas artikli 9 lõike 2 punktidega h ja i ning artikli 9 lõikega 3;

d)

avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil kooskõlas artikli 89 lõikega 1 sel määral mil lõikes 1 osutatud õigus tõenäoliselt muudab sellise töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral, või

e)

õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

a)

andmesubjekt vaidlustab isikuandmete õigsuse, ajaks, mis võimaldab vastutaval töötlejal isikuandmete õigsust kontrollida;

b)

isikuandmete töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle isikuandmete kustutamist, vaid kasutamise piiramist;

c)

vastutav töötleja ei vaja isikuandmeid enam töötlemise eesmärkidel, kuid need on andmesubjektile vajalikud õigusnõuete koostamiseks, esitamiseks või kaitsmiseks,

d)

andmesubjekt on esitanud isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt vastuväite, ajaks, kuni kontrollitakse, kas vastutava töötleja õiguspärased põhjused kaaluvad üles andmesubjekti põhjused.

a)

töötlemine põhineb artikli 6 lõike 1 punktis a või artikli 9 lõike 2 punktis a osutatud nõusolekul või artikli 6 lõike 1 punktis b osutatud lepingul ning

b)

töödeldakse automatiseeritult.

a)

on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks;

b)

on lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, milles on sätestatud ka asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitsmiseks, või

c)

põhineb andmesubjekti selgesõnalisel nõusolekul.

a)

riigi julgeolek;

b)

riigikaitse;

c)

avalik julgeolek;

d)

süütegude tõkestamine, uurimine, avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;

e)

liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus;

f)

kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse;

g)

reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine;

h)

jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on kas või juhtumipõhiselt seotud avaliku võimu teostamisega punktides a – e ja g osutatud juhtudel;

i)

andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;

j)

tsiviilõiguslike nõuete täitmise tagamine.

a)

töötlemise või selle kategooriate eesmärgid;

b)

isikuandmete liigid;

c)

kehtestatud piirangute ulatus;

d)

kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist tõkestavad kaitsemeetmed;

e)

vastutava töötleja või vastutavate töötlejate kategooriate määratlus;

f)

säilitamise ajavahemikud ja kohaldatavad kaitsemeetmed, võttes arvesse töötlemise või selle kategooriate laadi, ulatust ja eesmärki;

g)

andmesubjektide õigusi ja vabadusi ähvardavad ohud ning

h)

andmesubjektide õigus olla piirangust teavitatud, välja arvatud juhul, kui see võib mõjutada piirangu eesmärki.

a)

kui isikuandmete töötlemine on juhtumipõhine, see ei hõlma artikli 9 lõikes 1 osutatud isikuandmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist ning ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või

b)

avaliku sektori asutuse või organi suhtes.

a)

töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)

tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;

c)

võtab kõik artikli 32 kohaselt nõutavad meetmed;

d)

järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)

võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)

aitab vastutaval töötlejal täita artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)

pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)

teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

a)

vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja, vastutava töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)

töötlemise eesmärgid;

c)

andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

d)

vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad ja rahvusvahelised organisatsioonid;

e)

kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumendid;

f)

võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;

g)

võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

a)

volitatud töötleja või töötlejate ja vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)

vastutava töötleja nimel tehtava töötlemise kategooriad;

c)

kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumendid;

d)

võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

a)

isikuandmete pseudonümiseerimine ja krüpteerimine;

b)

võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

c)

võime taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral;

d)

tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks.

a)

kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv;

b)

teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

c)

kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

d)

kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

a)

vastutav töötleja on kehtestanud asjakohased tehnilised ja korralduslikud kaitsemeetmed ja neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine);

b)

vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu teke andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline, või

c)

see nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul tehakse avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil.

a)

füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

b)

artikli 9 lõikes 1 osutatud andmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või

c)

avalike alade ulatuslik süstemaatiline jälgimine.

a)

kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus;

b)

isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)

lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning

d)

ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

a)

kui see on asjakohane, siis isikuandmete töötlemisega seotud vastutava töötleja, kaasvastutavate töötlejate ja volitatud töötlejate vastavad vastutusvaldkonnad, eelkõige seoses töötlemisega kontsernis;

b)

kavandatava isikuandmete töötlemise eesmärk ja vahendid;

c)

ettenähtud meetmed ja tagatised, et kaitsta käesoleva määruse kohaselt andmesubjektide õigusi ja vabadusi;

d)

kui see on asjakohane, siis andmekaitseametniku kontaktandmed;

e)

artiklis 35 sätestatud andmekaitsealane mõjuhinnang ning

f)

kogu muu järelevalveasutuse taotletud teave.

a)

isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;

b)

vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise, või

c)

vastutava töötleja või volitatud töötleja põhitegevuse moodustab artiklis 9 osutatud andmete eriliikide ja artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

a)

teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad käesolevast määrusest ja muudest liidu või liikmesriikide andmekaitsenormidest;

b)

jälgida käesoleva määruse, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja või volitatud töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduvat auditeerimist;

c)

anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist vastavalt artiklile 35;

d)

teha koostööd järelevalveasutusega, ning

e)

tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktisikuna, sealhulgas artiklis 36 osutatud eelneva konsulteerimise osas, ning konsulteerida vajaduse korral ka muudes küsimustes.

a)

isikuandmete õiglane ja läbipaistev töötlemine;

b)

vastutava töötleja õigustatud huvid teatud kontekstis;

c)

isikuandmete kogumine;

d)

isikuandmete pseudonümiseerimine;

e)

üldsuse ja andmesubjektide teavitamine;

f)

andmesubjektide õiguste kasutamine;

g)

laste teavitamine ja kaitsmine ning lapse suhtes vanemliku vastutusega isiku nõusoleku saamise viis;

h)

artiklites 24 ja 25 osutatud meetmed ja menetlused ning meetmed artiklis 32 osutatud isikuandmete töötlemise turvalisuse tagamiseks;

i)

isikuandmetega seotud rikkumistest teatamine järelevalveasutustele ja andmesubjektide teavitamine isikuandmetega seotud rikkumistest;

j)

isikuandmete edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele, ja

k)

vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 77 ja 79.

a)

on pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi toimimisjuhendi sisu osas;

b)

on kehtestanud menetlused, mis võimaldavad tal hinnata vastutavate töötlejate ja volitatud töötlejate sobivust toimimisjuhendi kohaldamiseks, teostada järelevalvet selle sätete järgimise üle ja vaadata korrapäraselt üle selle toimimist;

c)

on kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt toimimisjuhendi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

d)

tõendab pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

a)

artikli 55 või 56 kohaselt pädev järelevalveasutus;

b)

Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 765/2008 (20) kohaselt, kooskõlas standardiga EN-ISO/IEC 17065/2012 ning artiklite 55 või 56 kohaselt pädeva järelevalveasutuse kehtestatud täiendavate nõuete kohaselt nimetatud riiklik akrediteerimisasutus.

a)

pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi sertifitseerimise sisu osas;

b)

võtnud endale kohustuse järgida artikli 42 lõikes 5 osutatud kriteeriume, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu;

c)

kehtestanud andmekaitsesertifikaatide, -pitserite ja -märgiste väljastamise, korrapärase läbivaatamise ja tagasivõtmise menetlused;

d)

kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt sertifikaadi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

e)

tõendanud pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

a)

õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, kaitset, riiklikku julgeolekut, karistusõigust ja riigiasutuste juurdepääsu isikuandmetele, ning selliste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktikast tulenevad nõuded ning andmesubjektide tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse;

b)

ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja nende täitmise tagamise eest, sealhulgas piisavate täitmise tagamise volituste eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

c)

asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või selle kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega.

a)

õiguslikult siduva ja täitmisele pööratava dokumendiga avaliku sektori asutuste või organite vahel;

b)

siduvate kontsernisiseste eeskirjadega vastavalt artiklile 47;

c)

komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt vastu võetud standardsete andmekaitseklauslitega;

d)

järelevalveasutuse poolt vastu võetud ja komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt heaks kiidetud standardsete andmekaitseklauslitega;

e)

artikli 40 kohase heakskiidetud toimimisjuhendiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas, või

f)

artikli 42 kohase heakskiidetud sertifitseerimismehhanismiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas.

a)

vastutava töötleja või volitatud töötleja ning kolmanda riigi või rahvusvahelise organisatsiooni vastutava töötleja või volitatud töötleja või isikuandmete vastuvõtja vaheliste lepingutingimustega või

b)

sätetega, mis tuleb lisada avaliku sektori asutuste või organite vahelistesse halduskokkulepetesse ning mis hõlmavad andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi.

a)

need on õiguslikult siduvad ja neid kohaldatakse kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma asjaomaste liikmete, sealhulgas nende töötajate suhtes, ning kõik liikmed tagavad nende täitmist;

b)

nendega antakse andmesubjektidele selgesõnaliselt nende isikuandmete töötlemist käsitlevad kohtulikult kaitstavad õigused, ning

c)

need vastavad lõikes 2 sätestatud nõuetele.

a)

kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma ja kõigi selle liikmete struktuur ja kontaktandmed;

b)

isikuandmete ühekordne või korduv edastamine, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektide liik ning kõnealuse kolmanda riigi või kõnealuste kolmandate riikide andmed;

c)

nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

d)

üldiste andmekaitsepõhimõtete rakendamine, eelkõige eesmärgi piiritlemine, võimalikult väheste andmete kogumine, andmete piiratud säilitamisaeg, andmete kvaliteet, lõimitud andmekaitse ja vaikimisi andmekaitse, töötlemise õiguslik alus, isikuandmete konkreetsete liikide töötlemine, meetmed andmeturbe tagamiseks ja nõuded edasisaatmise kohta asutustele, kes ei ole seotud siduvate kontsernisiseste eeskirjadega;

e)

andmesubjektide õigused seoses isikuandmete töötlemisega ja nende õiguste kasutamise vahendid, sealhulgas õigus sellele, et nende suhtes ei tehta otsust üksnes andmete automatiseeritud töötlemise, sealhulgas artikli 22 kohase profiilianalüüsi alusel, õigus esitada artikli 79 kohane kaebus liikmesriigi pädevale järelevalveasutusele ja pädevatele kohtutele ning õigus taotleda siduvate kontsernisiseste eeskirjade rikkumise korral kahju hüvitamist ja vajaduse korral kompensatsiooni;

f)

liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate kontsernisiseste eeskirjade rikkumise korral, kui selle paneb toime asjaomane liige, kelle asukoht ei ole liidus; vastutava töötleja või volitatud töötleja vabastatakse vastutusest täielikult või osaliselt vaid siis, kui ta tõestab, et kõnealune liige ei ole kahju tekitamise eest vastutav;

g)

kuidas lisaks artiklitega 13 ja 14 ette nähtud teabele edastatakse andmesubjektidele teavet siduvate kontsernisiseste eeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta;

h)

kooskõlas artikliga 37 ametisse nimetatud andmekaitseametniku või mis tahes muu sellise isiku või üksuse ülesanded, kes vastutab järelevalve teostamise eest siduvate kontsernisiseste eeskirjade täitmise üle kontsernis või ühise majandustegevusega tegelevate ettevõtjate rühmas ning samuti koolitamise ja kaebuste käsitlemise üle;

i)

kaebuse esitamise menetlused;

j)

kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma sisemehhanismid, et tagada siduvate kontsernisiseste eeskirjade täitmise kontrollimine. Sellised mehhanismid hõlmavad andmekaitseauditeid ja andmesubjekti õiguste kaitseks võetavate parandusmeetmete tagamise meetodeid. Sellise kontrollimise tulemused tuleks teatavaks teha punktis h osutatud isikule või üksusele ning kontrolliva ettevõtja või ühise majandustegevusega tegelevate ettevõtjate rühma juhatusele ning need peaksid olema taotluse alusel pädevale järelevalveasutusele kättesaadavad;

k)

mehhanismid, et registreerida eeskirjades tehtavad muudatused ja teavitada neist järelevalveasutusi;

l)

mehhanism koostööks järelevalveasutusega, et tagada kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikmete nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks punktis j osutatud meetmete kontrollimise tulemused;

m)

mehhanismid pädeva järelevalveasutuse teavitamiseks mis tahes sellistest juriidilistest nõuetest, mida kolmandas riigis kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikme suhtes kohaldatakse ning millel võib olla oluline negatiivne mõju siduvate kontsernisiseste eeskirjadega ettenähtud tagatistele, ning

n)

asjakohane andmekaitsekoolitus töötajatele, kellel on isikuandmetele pidev või korrapärane juurdepääs.

a)

andmesubjekt on edastamiseks andnud selgesõnalise nõusoleku pärast seda, kui teda teavitati sellise edastamisega tema jaoks kaasnevatest võimalikest ohtudest, mis tulenevad kaitse piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest;

b)

edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks;

c)

edastamine on vajalik, et andmesubjekti huvides sõlmida vastutava töötleja ja muu füüsilise või juriidilise isiku vahel leping või seda lepingut täita;

d)

edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel;

e)

edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

f)

edastamine on vajalik, et kaitsta andmesubjekti või muude isikute olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;

g)

edastamine tehakse registrist, mis liidu või liikmesriigi õiguse kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud kas laiemale avalikkusele või kõigile, kes suudavad tõendada õigustatud huvi, kuid ainult sellisel määral, nagu konkreetsel juhul on täidetud tutvumist käsitlevad tingimused, mis on liidu või liikmesriigi õigusega ette nähtud.

a)

töötada välja rahvusvahelised koostöömehhanismid, millega hõlbustada isikuandmete kaitset käsitlevate õigusaktide tõhusa täitmise tagamist;

b)

osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamise, kaebuste suunamise, uurimistegevuse ja teabevahetuse kaudu, järgides asjakohaseid isikuandmete kaitsemeetmeid ning muid põhiõigusi ja -vabadusi;

c)

kaasata asjaomased sidusrühmad arutellu ja tegevusse, mille eesmärk on edendada rahvusvahelist koostööd isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;

d)

edendada isikuandmete kaitset käsitlevate õigusaktide ja tavade vahetamist ja dokumenteerimist, sealhulgas kolmandate riikidega kohtualluvuse osas valitsevate lahkarvamuste küsimuses.

—

asjaomase liikmesriigi parlament;

—

asjaomase liikmesriigi valitsus;

—

asjaomase liikmesriigi riigipea või

—

asjaomase liikmesriigi õiguse kohaselt ametisse nimetama volitatud sõltumatu asutus.

a)

järelevalveasutuse asutamise;

b)

järelevalveasutuse liikme ametisse nimetamiseks nõutava kvalifikatsiooni ja tingimused;

c)

eeskirjad ja menetlused järelevalveasutuse liikme või liikmete ametisse nimetamiseks;

d)

järelevalveasutuse liikme või liikmete vähemalt nelja aasta pikkuse ametiaja, välja arvatud pärast 24. maid 2016 esimest korda ametisse nimetamisel, mil osa liikmete ametiaeg võib olla lühem, kui see on vajalik, et kaitsta järkjärgulise ametisse nimetamise abil järelevalveasutuse sõltumatust;

e)

selle, kas ja kui mitmeks ametiajaks saab järelevalveasutuse liiget või liikmeid ametisse tagasi nimetada, ning

f)

tingimused, mis reguleerivad järelevalveasutuse liikme või liikmete ja töötajate kohustusi, nende kohustustega kokkusobimatuid tegevusi, tegevusalasid ja hüvesid ametiajal ja pärast selle lõppu ning töösuhte lõppu käsitlevad normid.

a)

jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise;

b)

suurendab üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Erilist tähelepanu pööratakse lastele suunatud tegevusele;

c)

nõustab kooskõlas liikmesriigi õigusega riigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel;

d)

edendab vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva määruse kohastest kohustustest;

e)

annab andmesubjektile taotluse korral teavet tema käesolevast määrusest tulenevate õiguste kasutamise kohta ja teeb vajaduse korral sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega;

f)

käsitleb andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 80 kohaselt esitatud kaebusi, uurib asjakohasel määral kaebuste sisu ning teavitab kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;

g)

teeb koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet ja osutades abi, et tagada käesoleva määruse ühetaoline kohaldamine ja täitmise tagamine;

h)

toimetab uurimisi käesoleva määruse kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

i)

jälgib asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja sidetehnoloogiate ning kaubandustavade arengut;

j)

võtab vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud lepingu tüüptingimused;

k)

koostab ja säilitab loetelu seoses artikli 35 lõike 4 kohase andmekaitsealase mõjuhinnangu tegemise nõudega;

l)

annab nõu artikli 36 lõikes 2 osutatud isikuandmete töötlemise toimingute osas;

m)

ergutab artikli 40 lõike 1 kohaste toimimisjuhendite koostamist, esitab oma arvamuse piisavaid tagatisi pakkuvate toimimisjuhendite kohta ja kiidab need heaks kooskõlas artikli 40 lõikega 5;

m)

ergutab artikli 42 lõike 1 kohaselt andmetekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kehtestamist ning kiidab artikli 42 lõike 5 kohaselt sertifitseerimise kriteeriumid heaks;

o)

vaatab vajaduse korral korrapäraselt läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

p)

koostab ja avaldab artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohase sertifitseerimisasutuse akrediteerimise tingimused;

q)

akrediteerib artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohaselt sertifitseerimisasutuse;

r)

kinnitab artikli 46 lõikes 3 osutatud lepinguklauslid ja -sätted;

s)

kiidab heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad;

t)

annab panuse andmekaitsenõukogu tegevusse;

u)

peab asutusesisest registrit käesoleva määruse rikkumiste ja võetud meetmete kohta, eelkõige kooskõlas artikli 58 lõikega 2 tehtud hoiatuste ja kehtestatud karistuste kohta ning

v)

täidab mis tahes muid isikuandmete kaitsega seotud ülesandeid.

a)

anda korraldus, et vastutav töötleja või volitatud töötleja või vajaduse korral vastutava töötleja või volitatud töötleja esindaja annab teavet, mis on vajalik tema ülesannete täitmiseks;

b)

viia läbi uurimisi andmekaitseauditi kujul;

c)

vaadata läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

d)

teavitada vastutavat töötlejat või volitatud töötlejat käesoleva määruse väidetavast rikkumisest;

e)

saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks, ning

f)

saada kooskõlas liidu või liikmesriigi menetlusõigusega juurdepääs vastutava töötleja ja volitatud töötleja mis tahes ruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja -vahenditele.

a)

hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;

b)

teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;

c)

anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;

d)

anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

e)

anda korraldus, et vastutav töötleja teavitaks andmesubjekti tema isikuandmetega seotud rikkumisest;

f)

kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;

g)

anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata artiklite 16, 17 ja 18 alusel ning teavitada nimetatud meetmetest vastuvõtjaid, kellele isikuandmed on artikli 17 lõike 2 ja artikli 19 kohaselt avaldatud;

h)

võtta sertifikaat tagasi või anda sertifitseerimisasutusele korraldus võtta tagasi artiklite 42 ja 43 alusel väljastatud sertifikaat või anda sertifitseerimisasutusele korraldus jätta sertifikaat väljastamata, kui sertifitseerimise nõuded ei ole täidetud või ei ole enam täidetud;

i)

määrata artikli 83 kohaselt trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest,

j)

anda korraldus peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog.

a)

nõustada vastutavat töötlejat kooskõlas artiklis 36 osutatud eelneva konsulteerimise menetlusega;

b)

esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi riigi parlamendile, liikmesriigi valitsusele või, kooskõlas liikmesriigi õigusega, muudele institutsioonidele ja asutustele ning samuti avalikkusele;

c)

anda luba artikli 36 lõikes 5 osutatud töötlemiseks, kui liikmesriigi õigus sellist eelnevat luba nõuab;

d)

esitada arvamus ja kiita heaks toimimisjuhendite kavandid vastavalt artikli 40 lõikele 5;

e)

akrediteerida sertifitseerimisasutused vastavalt artiklile 43;

f)

väljastada sertifikaate ja kiita heaks sertifitseerimise kriteeriumid kooskõlas artikli 42 lõikega 5;

g)

võtta vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud andmekaitse tüüpklauslid;

h)

kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused;

i)

kinnitada artikli 46 lõike 3 punktis b osutatud halduskokkulepped;

j)

kiita heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad.

a)

ta ei ole taotluse sisu või temalt nõutavate meetmete rakendamise küsimuses pädev või

b)

taotluse täitmine rikuks käesolevat määrust või taotluse saanud järelevalveasutusele kohaldatava liidu või liikmesriigi õigusega.

a)

selle eesmärk on võtta vastu selline isikuandmete töötlemise toimingute loetelu, mille puhul kohaldatakse artikli 35 lõike 4 kohast andmekaitsealase mõjuhinnangu nõuet;

b)

see on seotud artikli 40 lõike 7 kohase küsimusega selle kohta, kas toimimisjuhendi kavand või selle muudatused või laiendused on vastavuses käesoleva määrusega;

c)

selle eesmärk on heaks kiita kriteeriumid artikli 41 lõike 3 kohaseks asutuse või artikli 43 lõike 3 kohaseks sertifitseerimisasutuse akrediteerimiseks;

d)

selle eesmärk on määrata kindlaks artikli 46 lõike 2 punktis d ja artikli 28 lõikes 8 osutatud andmekaitse standardklauslid;

e)

selle eesmärk on kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused või

f)

selle eesmärk on kiita heaks siduvad kontsernisisesed eeskirjad artikli 47 tähenduses.

a)

Euroopa Andmekaitsenõukogu liikmeid ja komisjoni talle edastatud mis tahes asjakohasest teabest, kasutades selleks tüüpvormi. Andmekaitsenõukogu sekretariaat korraldab vajaduse korral asjaomase teabe tõlkimise, ning

b)

vastavalt vajadusele lõigetes 1 ja 2 osutatud järelevalveasutust ja komisjoni kõnealusest arvamusest ning avalikustab selle.

a)

kui asjaomane järelevalveasutus on artikli 60 lõikes 4 osutatud juhul tõstatanud asjakohase ja põhjendatud vastuväite juhtiva järelevalveasutuse otsuse eelnõu kohta või kui juhtiv järelevalveasutus on sellise vastuväite kui mitteasjakohase ja/või põhjendamatu tagasi lükanud. Siduv otsus puudutab kõiki asjakohases ja põhjendatud vastuväites käsitletud küsimusi, eelkõige küsimust, kas on toimunud käesoleva määruse rikkumine;

b)

kui esineb lahkarvamusi selles osas, milline on peamise tegevuskoha jaoks pädev asjaomane järelevalveasutus, ning

c)

kui pädev järelevalveasutus ei taotle andmekaitsenõukogu arvamust käesoleva artikli 64 lõikes 1 osutatud juhtudel või ei järgi andmekaitsenõukogu artikli 64 kohaselt esitatud arvamust. Sellisel juhul võib asjaomane järelevalveasutus või komisjon edastada küsimuse andmekaitsenõukogule.

a)

jälgib ja tagab, et käesolevat määrust kohaldatakse nõuetekohaselt artiklites 64 ja 65 sätestatud juhtudel, ilma ei see piiraks riiklike järelevalveasutuste ülesannete täitmist;

b)

nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes liidus, sealhulgas käesoleva määruse mis tahes kavandatavate muudatuste osas;

c)

nõustab komisjoni vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise teabevahetuse vormi ja menetluste osas seoses siduvate kontsernisiseste eeskirjadega;

d)

annab välja suuniseid, soovitusi ja parimaid tavasid seoses menetlustega, mille eesmärk on kustutada isikuandmetele osutavaid linke ning andmekoopiaid ja -kordusi üldkasutatavatest kommunikatsiooniteenustest, nagu on osutatud artikli 17 lõikes 2;

e)

vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

f)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada artikli 22 lõike 2 kohaste ja profiilianalüüsil põhinevate otsuste vastuvõtmise kriteeriume ja tingimusi;

g)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 33 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

h)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tõenäoliselt tõsiselt mõjutada füüsiliste isikute õigusi ja vabadusi, nagu on osutatud artikli 34 lõikes 1;

i)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada kriteeriume ja nõudeid, mis käsitlevad isikuandmete edastamist vastutavate töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ja volitatud töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ning täiendavate vajalike nõuete alusel, millega tagada asjaomaste andmesubjektide isikuandmete kaitse, millele on osutatud artiklis 47;

j)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täpsustada artikli 49 lõikel 1 põhineva isikuandmete edastamise kriteeriume ja nõudeid;

k)

koostab järelevalveasutustele suuniseid seoses artikli 58 lõigetes 1, 2 ja 3 osutatud meetmete kohaldamisega ning artikli 83 kohaste trahvide kindlaksmääramisega;

l)

jälgib punktides e ja f osutatud suuniste, soovituste ja parimate tavade praktilist kohaldamist;

m)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et kehtestada ühised menetlused, mille kohaselt füüsilised isikud saavad teatada käesoleva määruse rikkumistest artikli 54 lõike 2 alusel;

n)

ergutab artiklite 40 ja 42 kohaselt toimimisjuhendite koostamist ning andmekaitse sertifitseerimise mehhanismide ja andmekaitsepitserite ja -märgiste kasutuselevõtmist;

o)

akrediteerib sertifitseerimisasutusi ja vaatab seda korrapäraselt läbi vastavalt artiklile 43 ning peab artikli 43 lõike 6 alusel avalikku registrit akrediteeritud asutuste kohta ja artikli 42 lõike 7 alusel kolmandates riikides asuvate akrediteeritud vastutavate töötlejate või volitatud töötlejate kohta;

p)

täpsustab artikli 43 lõikes 3 osutatud nõudeid seoses sertifitseerimisasutuste akrediteerimisega artikli 42 kohaselt;

q)

esitab komisjonile arvamuse artikli 43 lõikes 8 osutatud sertifitseerimisnõuete kohta;

r)

esitab komisjonile arvamuse artikli 12 lõikes 7 osutatud ikoonide kohta;

s)

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas kolmas riik, territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset. Sel eesmärgil esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, asjaomase kolmanda riigi, territooriumi või kolmanda riigi kindlaksmääratud sektoriga või asjaomase rahvusvahelise organisatsiooniga;

t)

esitab arvamusi artikli 64 lõikes 1 osutatud järjepidevuse mehhanismi kohaselt järelevalveasutuste otsuste eelnõude kohta, artikli 64 lõike 2 kohaselt esitatud küsimuste kohta ning väljastab artikli 65 kohaselt siduvaid otsuseid, sealhulgas artiklis 66 osutatud juhtudel;

u)

edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja heade tavade vahetamist;

v)

edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste vahel ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

w)

edendab teadmiste ja dokumentide vahetamist andmekaitset käsitlevate õigusaktide ja tavade kohta andmekaitse järelevalveasutustega kogu maailmas;

x)

esitab arvamusi artikli 40 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta, ning

y)

peab üldsusele kättesaadavat elektroonilist registrit järelevalveasutuste ja kohtute otsuste kohta, mis on vastu võetud järjepidevuse mehhanismi raames käsitletud küsimustes.

a)

kutsuda kokku andmekaitsenõukogu koosolekud ja valmistada ette päevakord;

b)

teavitada artikli 65 kohaselt andmekaitsenõukogu poolt vastu võetud otsustest juhtivat järelevalveasutust ja asjaomaseid järelevalveasutusi;

c)

tagada andmekaitsenõukogu ülesannete õigeaegne täitmine, eelkõige seoses artiklis 63 osutatud järjepidevuse mehhanismiga.

a)

andmekaitsenõukogu igapäevane tegevus;

b)

suhtlemine andmekaitsenõukogu liikmete, selle eesistuja ja komisjoni vahel;

c)

teabevahetus teiste institutsioonide ja üldsusega;

d)

elektrooniliste vahendite kasutamine sise- ja välissuhtluses;

e)

asjaomase teabe tõlkimine;

f)

andmekaitsenõukogu koosolekute ettevalmistamine ja järelmeetmed;

g)

andmekaitsenõukogu poolt vastu võetud arvamuste, järelevalveasutuste vahelisi vaidlusi käsitlevate otsuste ja muude dokumentide ettevalmistamine, koostamine ja avaldamine.

a)

rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)

kas rikkumine pandi toime tahtlikult või hooletusest;

c)

vastutava töötleja või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

d)

vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt artiklite 25 ja 32 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

e)

vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised;

f)

järelevalveasutusega tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

g)

rikkumisest mõjutatud isikuandmete liigid;

h)

millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas vastutav töötleja või volitatud töötleja teatas rikkumisest ja millisel määral ta seda tegi;

i)

kui asjaomase vastutava töötleja või volitatud töötleja suhtes on samas küsimuses varem võetud artikli 58 lõikes 2 osutatud meetmeid, siis nende meetmete järgimine;

j)

artikli 40 kohaste heakskiidetud toimimisjuhendite või artikli 42 kohaste heakskiidetud sertifitseerimismehhanismide järgimine, ning

k)

juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.

a)

vastutava töötleja või volitatud töötleja kohustused artiklite 8, 11, 25-39, 42 ja 43 alusel;

b)

sertifitseerimisasutuse kohustused artiklite 42 ja 43 alusel;

c)

järelevalvet teostava asutuse kohustused artikli 41 lõike 4 alusel.

a)

töötlemise aluspõhimõtted, sealhulgas artiklite 5, 6, 7 ja 9 kohased nõusoleku andmise tingimused;

b)

andmesubjektide õigused artiklite 12–22 alusel;

c)

isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile artiklite 44–49 alusel;

d)

mis tahes kohustused IX peatüki kohaselt vastu võetud liikmesriigi õigusaktide alusel;

e)

järelevalveasutuse artikli 58 lõike 2 kohase korralduse või ajutise või alalise töötlemispiirangu või andmevoogude peatamise täitmatajätmine või juurdepääsu andmisest keeldumine, rikkudes sellega artikli 58 lõiget 1.

a)

isikuandmete kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist käsitlev V peatükk, eelkõige seoses käesoleva määruse artikli 45 lõike 3 kohaselt vastu võetud otsustega ja direktiivi 95/46/EÜ artikli 25 lõike 6 alusel vastu võetud otsustega;

b)

koostööd ja järjepidevust käsitlev VII peatükk.

4.5.2016   

ET

Euroopa Liidu Teataja

L 119/89

(1)

Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta („harta“) artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu (ELi toimimise leping) artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

(2)

Isikuandmete töötlemisele kohaldatavad füüsiliste isikute kaitse põhimõtted ja normid peaks füüsiliste isikute kodakondsusest ja elukohast sõltumata austama nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Käesoleva direktiivi eesmärk on aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala lõplikule väljakujundamisele.

(3)

Kiire tehnoloogiline areng ja üleilmastumine on toonud isikuandmete kaitsesse uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab selliste tegevuste puhul nagu süütegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine ning kriminaalkaristuste täitmisele pööramine töödelda isikuandmeid enneolematus ulatuses.

(4)

Süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil tuleks hõlbustada pädevate asutuste vahelist isikuandmete vaba liikumist liidus, nagu ka selliste isikuandmete edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, tagades samal ajal isikuandmete kõrgetasemelise kaitse. Selleks on vaja liidus luua tugev ja ühtsem isikuandmete kaitse raamistik, mida toetab tõhus täitmise tagamine.

(5)

Isikuandmete töötlemisele liikmesriikide avalikus ja erasektoris kohaldatakse Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ (3). Nimetatud direktiivi ei kohaldata siiski isikuandmete töötlemisele sellise tegevuse käigus, mis ei kuulu ühenduse õiguse kohaldamisalasse, nagu näiteks tegevus kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

(6)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas kohaldatakse nõukogu raamotsust 2008/977/JSK (4). Kõnealuse raamotsuse kohaldamisala on piiratud liikmesriikide vahel edastatud ja kättesaadavaks tehtud isikuandmete töötlemisega.

(7)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö tõhususe huvides on eriti oluline tagada füüsiliste isikute isikuandmete järjekindel kõrgetasemeline kaitse ja hõlbustada isikuandmete vahetamist liikmesriikide pädevate asutuste vahel. Selleks peaks kõikides liikmesriikides olema ühesugune füüsiliste isikute õiguste ja vabaduste kaitse tase isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada andmesubjektide õigusi ning isikuandmeid töötlevate isikute kohustusi, aga ka volitusi isikuandmete kaitse normide järgimise järelevalveks ja tagamiseks liikmesriikides.

(8)

ELi toimimise lepingu artikli 16 lõikes 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama õigusnorme füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega, samuti isikuandmete vaba liikumist käsitlevaid õigusnorme.

(9)

Sellest lähtudes sätestab Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 (5) üldised normid füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise tagamiseks liidus.

(10)

Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö eripära tõttu võib tekkida vajadus ELi toimimise lepingu artiklil 16 põhinevate erinormide järele seoses isikuandmete kaitse ja isikuandmete vaba liikumisega kõnealustes valdkondades.

(11)

Seetõttu on asjakohane reguleerida kõnealuseid valdkondi direktiiviga, mis sätestab erinormid, mis käsitlevad füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, võttes arvesse kõnealuste tegevuste eripära. Sellised pädevad asutused võivad olla mitte üksnes avaliku sektori asutused nagu õigusasutused, politsei ja teised õiguskaitseasutused, vaid ka kõik muud asutused või üksused, kes teostavad liikmesriigi õiguse kohaselt avalikku võimu käesoleva direktiivi kohaldamisel. Kui selline asutus või üksus töötleb isikuandmeid muul eesmärgil kui käesoleva direktiivi kohaldamine, kohaldatakse määrust (EL) 2016/679. Seepärast kohaldatakse määrust (EL) 2016/679 juhul, kui asutus või üksus kogub isikuandmeid muul eesmärgil ja täiendavalt töötleb kõnealuseid isikuandmeid oma juriidilise kohustuse täitmiseks. Näiteks finantsasutused säilitavad süütegude uurimiseks või avastamiseks või nende eest vastutusele võtmiseks teatavaid nende poolt töödeldavaid isikuandmeid ning nad teevad need isikuandmed kättesaadavaks ainult pädevatele riigiasutustele erijuhtudel ja kooskõlas liikmesriigi õigusega. Asutus või üksus, kes töötleb isikuandmeid nende asutuste nimel käesoleva direktiivi kohaldamisala piires, peaks olema seotud lepingu või õigusaktiga ning tema suhtes tuleks kohaldada käesolevast direktiivist tulenevaid vastutavate töötlejate suhtes kohaldatavaid sätteid, kusjuures ei mõjutata määruse (EL) 2016/679 kohaldamist vastutava töötleja poolt isikuandmete töötlemisele väljaspool käesoleva direktiivi kohaldamisala.

(12)

Politsei või muude õiguskaitseasutuste tegevus, sealhulgas politsei toimingud juhul, kui eelnevalt pole teada, kas tegemist on süüteoga, keskenduvad peamiselt süütegude tõkestamisele, uurimisele, avastamisele või nende eest vastutusele võtmisele. Selline tegevus võib hõlmata ka avaliku võimu teostamist sunnimeetmete võtmisega, näiteks politsei tegevus demonstratsioonidel, suurtel spordiüritustel ja massirahutustel. Selline tegevus hõlmab ka avaliku korra säilitamist, mis on politseile või muule õiguskaitseasutusele antud ülesanne, et vajaduse korral kaitsta avalikku julgeolekut ja seadusega kaitstavaid ühiskonna põhihuve selliste ohtude eest ja hoida ära selliste ohtude teke avalikule julgeolekule ja seadusega kaitstavatele ühiskonna põhihuvidele, mis võivad viia süüteo toimepanemiseni. Liikmesriigid võivad anda pädevatele asutustele muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, määruse (EL) 2016/679 kohaldamisalasse.

(13)

Süüteo mõiste käesoleva direktiivi tähenduses peaks olema liidu õiguse autonoomne mõiste, nagu seda on tõlgendanud Euroopa Liidu Kohus („Euroopa Kohus“).

(14)

Kuna käesolevat direktiivi ei tohiks kohaldada isikuandmete töötlemisele sellise tegevuse käigus, mis jääb liidu õiguse kohaldamisalast väljapoole, ei tohiks käesoleva direktiivi kohaldamisalasse kuuluva tegevusena käsitada riikliku julgeolekuga seotud tegevust, riikliku julgeoleku küsimustega tegelevate asutuste või üksuste tegevust ning isikuandmete töötlemist liikmesriikide poolt Euroopa Liidu lepingu (ELi leping) V jaotise 2. peatüki kohaldamisalasse kuuluva tegevuse käigus.

(15)

Selleks et tagada kogu liidus ühesugune füüsiliste isikute kohtulikult kaitstavate õiguste kaitse tase ning saavutada, et erinevused ei takistaks isikuandmete vahetamist pädevate asutuste vahel, tuleks käesolevas direktiivis sätestada ühtsed normid süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise, kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta. Liikmesriikide õigusaktide ühtlustamine ei tohiks viia isikuandmete kaitse taseme langemiseni, vaid sellega tuleks püüda tagada kõrgetasemeline kaitse kogu liidus. Liikmesriikidel ei tohiks keelata näha ette rangemaid kaitsemeetmeid kui need, mis on kehtestatud käesolevas direktiivis, andmesubjekti õiguste ja vabaduste kaitseks seoses isikuandmete töötlemisega pädevate asutuste poolt.

(16)

Käesolev direktiiv ei piira põhimõtte kohaldamist, mis käsitleb üldsuse juurdepääsu ametlikele dokumentidele. Määruse (EL) 2016/679 kohaselt võib avaliku sektori asutus või avaliku sektori organ või erasektori organ avalikes huvides oleva ülesande täitmiseks avaldada tema valduses olevates ametlikes dokumentides sisalduvaid isikuandmeid kooskõlas kõnealusele avaliku sektori asutusele või organile kohaldatava liidu või liikmesriigi õigusega, et ühitada üldsuse juurdepääs sellistele ametlikele dokumentidele ja õigus isikuandmete kaitsele.

(17)

Käesoleva direktiiviga pakutavat kaitset tuleks kohaldada füüsiliste isikute isikuandmete töötlemisele, olenemata nende kodakondsusest või elukohast.

(18)

Selleks et vältida normide täitmisest kõrvalehoidmise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest. Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva direktiivi kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole spetsiifiliste kriteeriumide kohaselt korrastatud, ega nende esilehed.

(19)

Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 45/2001 (6) kohaldatakse isikuandmete töötlemisele liidu institutsioonide, organite ja asutuste poolt. Määrust (EÜ) nr 45/2001 ja muid sellise isikuandmete töötlemise suhtes kohaldatavaid liidu õigusakte tuleks kohandada määrusega (EL) 2016/679 sätestatud põhimõtetele ja normidele.

(20)

Käesolev direktiiv ei takista liikmesriike täpsustamast nende kriminaalmenetlust käsitlevates õigusnormides kohtute ja muude õigusasutuste poolt isikuandmete töötlemise toiminguid ja menetlusi, eelkõige seoses kohtuotsustes sisalduvate isikuandmetega või kriminaalmenetluse toimikutega.

(21)

Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või muu isik võib füüsilise isiku otseseks või kaudseks tuvastamiseks tõenäoliselt kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks kasutatakse tõenäoliselt vahendeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse isikuandmete töötlemise ajal kättesaadavat tehnoloogiat ning tehnoloogia arengut. Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, s.o teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada.

(22)

Avaliku sektori asutusi, kellele avaldatakse isikuandmeid vastavalt juriidilisele kohustusele täita oma ametiülesandeid, näiteks maksu- ja tolliasutused, finantsuurimisüksused, sõltumatud haldusasutused või finantsturuasutused, kes vastutavad väärtpaberiturgude reguleerimise ja järelevalve eest, ei tohiks pidada vastuvõtjateks, kui nad saavad isikuandmeid, mida vajatakse üldistes huvides konkreetse päringu tegemiseks kooskõlas liidu või liikmesriigi õigusega. Avaliku sektori asutuste saadetavad andmete avaldamise taotlused peaksid olema alati kirjalikud, põhjendatud ja juhtumipõhised ning need ei tohiks puudutada kogu andmete kogumit või põhjustada andmete kogumite omavahelist ühendamist. Nimetatud avaliku sektori asutused peaksid isikuandmeid töötlema kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele.

(23)

Geneetilised andmed tuleks määratleda isikuandmetena, mis seonduvad füüsilise isiku päritud või omandatud geneetiliste omadustega ning mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia või tervise kohta ning mis saadakse asjaomase füüsilise isiku bioloogilise proovi analüüsist, iseäranis kromosoom-, desoksüribonukleiinhappe (DNA) või ribonukleiinhappe (RNA) analüüsist või muu elemendi analüüsist, mis võimaldab saada samaväärset teavet. Arvestades geneetiliste andmete keerukust ja tundlikkust, on suur oht, et vastutav töötleja väär- ja taaskasutab andmeid erinevatel eesmärkidel. Igasugune geneetilistel omadustel põhinev diskrimineerimine peaks olema põhimõtteliselt keelatud.

(24)

Tervisealaste isikuandmete hulka peaksid kuuluma kõik andmesubjekti terviseseisundit puudutavad andmed, mis annavad teavet andmesubjekti endise, praeguse või tulevase füüsilise või vaimse terviseseisundi kohta. See hõlmab teavet füüsilise isiku kohta, mis on kogutud füüsilise isiku tervishoiuteenuste registreerimise või talle tervishoiuteenuste osutamise käigus, nagu on osutatud Euroopa Parlamendi ja nõukogu direktiivis 2011/24/EL; (7) numbrit, tähist või eritunnust, mis on füüsilisele isikule määratud tema kordumatuks tuvastamiseks tervisega seotud eesmärkidel; teavet, mis on saadud mingi kehaosa või kehast pärineva aine, sealhulgas geneetiliste andmete ja bioloogiliste proovide kontrollimise või uurimise tulemusena; ja teavet näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi või andmesubjekti füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata sellest, millisest allikast see on saadud (näiteks arstilt või muult tervishoiutöötajalt, haiglalt, meditsiiniseadmest või in vitro diagnostikast).

(25)

Kõik liikmesriigid on Rahvusvahelise Kriminaalpolitsei Organisatsiooni (Interpol) liikmed. Oma ülesannete täitmiseks kogub, säilitab ja levitab Interpol isikuandmeid, mis aitavad pädevatel asutustel ennetada rahvusvahelist kuritegevust ning selle vastu võidelda. Seetõttu on asjakohane tugevdada liidu ja Interpoli vahelist koostööd, soodustades tõhusat isikuandmete vahetust, tagades samas põhiõiguste ja -vabaduste austamise isikuandmete automaatsel töötlemisel. Kui isikuandmeid edastatakse liidust Interpoli ja riikidele, kes on Interpoli koosseisu liikmeid delegeerinud, tuleks kohaldada käesolevat direktiivi, eelkõige andmete rahvusvahelist edastamist käsitlevaid sätteid. Käesolev direktiiv ei tohiks piirata erinorme, mis on kehtestatud nõukogu ühises seisukohas 2005/69/JSK (8) ja nõukogu otsuses 2007/533/JSK (9).

(26)

Isikuandmete töötlemine peaks olema asjaomaste füüsiliste isikute suhtes seaduslik, õiglane ja läbipaistev ning isikuandmeid tuleb töödelda ainult õigusaktis sätestatud konkreetsetel eesmärkidel. See ei takista õiguskaitseasutustel iseenesest selliste toimingute tegemist nagu varjatud jälitustoimingud või videovalve. Sellised toimingud on lubatud süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, kui need on õigusaktis ette nähtud ning kujutavad endast demokraatlikus ühiskonnas vajalikku ja proportsionaalset meedet ning nende puhul arvestatakse nõuetekohaselt asjaomase füüsilise isiku õigustatud huve. Andmekaitses kehtiv õiglase töötlemise põhimõte on määratletud harta artiklis 47 ja Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni („Euroopa inimõiguste konventsioon“) artiklis 6 õiglase kohtumenetluse õigusest eraldiseiseva põhimõttena. Füüsilisi isikuid tuleks teavitada nende isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad isikuandmete töötlemisega seoses oma õigusi kasutada. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata isikuandmete kogumise ajal. Isikuandmed peaksid olema töötlemise eesmärgi seisukohast piisavad ja asjakohased. Eelkõige tuleks tagada, et isikuandmeid ei koguta ülemääraselt ja neid ei säilitata kauem, kui nende töötlemise eesmärgil on vaja. Isikuandmeid tuleks töödelda üksnes juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. Selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või korrapäraseks läbivaatamiseks. Liikmesriigid peaksid kehtestama asjakohased kaitsemeetmed isikuandmetele, mida säilitatakse pikema aja jooksul avalikes huvides arhiveerimise eesmärgil või teaduslikuks, statistiliseks või ajalooliseks kasutamiseks.

(27)

Süütegude tõkestamiseks, uurimiseks ja nende eest vastutusele võtmiseks peavad pädevad asutused konkreetsete süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise käigus kogutud isikuandmeid töötlema muuks otstarbeks, et saada teadmisi kuritegevuse kohta ja erinevaid avastatud süütegusid omavahel seostada.

(28)

Selleks et tagada isikuandmete töötlemise turvalisus ja vältida, et isikuandmete töötlemisel rikutakse käesoleva direktiivi nõudeid, tuleks isikuandmeid töödelda viisil, mis tagab nende nõuetekohase turvalisuse ja konfidentsiaalsuse, sealhulgas väldib isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamist, ja võtab arvesse teaduse ja tehnoloogia viimast arengut, ohtudele vastavaid rakenduskulusid ja kaitstavate isikuandmete laadi.

(29)

Isikuandmeid tuleks koguda täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel kooskõlas käesoleva direktiivi kohaldamisalaga ning neid ei tohiks töödelda eesmärkidel, mis on vastuolus süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgiga. Kui isikuandmeid töötleb sama või erinev vastutav töötleja käesoleva direktiivi kohaldamisalasse kuuluval eesmärgil, mis on nende kogumise eesmärgist erinev, peaks selline töötlemine olema lubatud tingimusel, et selline töötlemine on asjaomaste õigusnormide kohaselt lubatud ning nimetatud teise eesmärgi saavutamiseks vajalik ja proportsionaalne.

(30)

Võttes arvesse asjaomase töötlemise laadi ja eesmärki, tuleks kohaldada andmete õigsuse põhimõtet. Eelkõige kohtumenetluses antakse isikuandmeid sisaldavaid ütlusi, mis põhinevad füüsiliste isikute subjektiivsel ettekujutusel toimunust ning mida ei saa alati kontrollida. Seetõttu ei tohiks õigsuse nõue puudutada tunnistuse õigsust, vaid üksnes tõsiasja, et konkreetne tunnistus on antud.

(31)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö käigus isikuandmete töötlemise puhul on olemuslik, et töödeldakse eri kategooriatesse kuuluvate andmesubjektide isikuandmeid. Seetõttu, kui see on asjakohane, tuleks sellises ulatuses nagu võimalik selgelt eristada selliste andesubjektide eri kategooriate isikuandmeid nagu kahtlusalused, süüteos süüdi mõistetud isikud, süüteo ohvrid ning muud isikud, nagu tunnistajad ja asjakohast teavet omavad isikud ning kahtlustatavate ja süüdimõistetute kontaktisikud ja kaasosalised. See ei tohiks takistada harta ja Euroopa inimõiguste konventsiooniga tagatud ning Euroopa Kohtu ja Euroopa Inimõiguste Kohtu praktika kohaselt tõlgendatava süütuse presumptsiooni õiguse kohaldamist.

(32)

Pädevad asutused peaksid tagama, et isikuandmeid, mis on ebaõiged, mittetäielikud või mis ei ole enam ajakohased, ei edastata ega tehta kättesaadavaks. Selleks et tagada füüsiliste isikute kaitse, edastatavate või kättesaadavaks tehtavate isikuandmete õigsus, täielikkus ja usaldusväärsus või ulatus, mil määral isikuandmed on ajakohased, peaksid pädevad asutused võimaluste piires lisama vajaliku teabe igasugusele isikuandmete edastamisele.

(33)

Kui käesolevas direktiivis osutatakse liikmesriigi õigusele, õiguslikule alusele või seadusandlikule meetmele, ei pea selleks tingimata olema parlamendi poolt vastu võetud seadusandlik akt, ilma et see piiraks asjaomase liikmesriigi põhiseaduslikust korrast tulenevate nõuete kohaldamist. Selline liikmesriigi õigus, õiguslik alus või seadusandlik meede peaks siiski olema selge ja täpne ning selle kohaldamine ettenähtav nendele, kelle suhtes seda kohaldatakse, nagu seda nõuab Euroopa Kohtu ja Euroopa Inimõiguste Kohtu praktika. Käesoleva direktiivi kohaldamisalasse kuuluvat isikuandmete töötlemist reguleerivas liikmesriigi õiguses tuleks kindlaks määrata vähemalt isikuandmete töötlemise üldeesmärgid, töödeldavad isikuandmed, töötlemise konkreetsed eesmärgid ning isikuandmete tervikluse ja konfidentsiaalsuse tagamise menetlused ja isikuandmete hävitamist käsitlevad menetlused, mis annaksid piisava tagatise ohu vastu, et isikuandmeid võidakse kuritarvitada või meelevaldselt kasutada.

(34)

Isikuandmete töötlemine pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil peaks hõlmama isikuandmete või nende kogumitega sellistel eesmärkidel tehtavat automatiseeritud või automatiseerimata toimingut või toimingute kogumit, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, ühitamine ja ühendamine, nende töötlemise piiramine, kustutamine ja hävitamine. Eelkõige tuleks käesoleva direktiivi norme kohaldada isikuandmete käesoleva direktiivi kohasele edastamisele sellisele vastuvõtjale, kelle suhtes ei kohaldata käesolevat direktiivi. Selline vastuvõtja peaks hõlmama füüsilist või juriidilist isikut, avaliku sektori asutust, ametit või muud organit, kellele pädev asutus isikuandmed seaduslikult avaldab. Kui pädev asutus kogus isikuandmed algselt mõnel käesoleva direktiivi kohasel eesmärgil, tuleks kõnealuste andmete töötlemisele muudel eesmärkidel kui käesoleva direktiivi eesmärgid kohaldada määrust (EL) 2016/679, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Eelkõige tuleks määruse (EL) 2016/679 norme kohaldada sellisele isikuandmete edastamisele, mille eesmärk ei kuulu käesoleva direktiivi kohaldamisalasse. Kui isikuandmeid töötleb vastuvõtja, kes ei ole pädev asutus käesoleva direktiivi tähenduses või ei tegutse sellise pädeva asutusena ja kellele pädev asutus isikuandmed seaduslikult avaldab, tuleks kohaldada määrust (EL) 2016/679. Käesoleva direktiivi rakendamisel peaksid liikmesriigid samuti saama täiendavalt täpsustada määruse (EL) 2016/679 normide kohaldamist viimases sätestatud tingimustel.

(35)

Selleks et isikuandmete töötlemine oleks seaduslik, peaks käesoleva direktiivi kohane isikuandmete töötlemine olema vajalik pädeva asutuse avalikes huvides oleva ülesande täitmiseks liidu või liikmesriigi õiguse alusel süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Kõnealused tegevused peaksid hõlmama andmesubjekti eluliste huvide kaitsmist. Pädevatele asutustele institutsiooniliselt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise eesmärgil seadusega antud ülesande täitmine annab neile õiguse nõuda või kohustada, et füüsilised isikud vastaksid esitatud taotlustele. Sellisel juhul ei tohiks andmesubjekti nõusolek (mis on määratletud määruses (EL) 2016/679) olla õiguslik alus isikuandmete töötlemiseks pädevate asutuste poolt. Kui andmesubjektilt nõutakse juriidilise kohustuse täitmist, puudub andmesubjektil tõeline ja vaba valikuvõimalus ning seetõttu ei saa andmesubjekti reaktsiooni käsitada vabatahtliku tahteavaldusena. See ei tohiks takistada liikmesriikidel õigusaktidega ette näha, et andmesubjekt võib nõustuda oma isikuandmete käesoleva direktiivi eesmärkidel toimuva töötlemisega, nagu kriminaaluurimises tehtavad DNA testid või tema asukoha jälgimine elektrooniliste märgiste abil kriminaalkaristuste täitmisele pööramiseks.

(36)

Liikmesriigid peaksid sätestama, et kui andmeid edastava pädeva asutuse suhtes kohaldatavas liidu või liikmesriigi õiguses on sätestatud konkreetsed tingimused, mida kohaldatakse konkreetsetel juhtudel isikuandmete töötlemisele, näiteks menetluskoodide kasutamine, peaks andmeid edastav pädev asutus selliste isikuandmete vastuvõtjat kõnealustest tingimustest ja nende järgimise nõudest teavitama. Selliste tingimuste hulka võib näiteks kuuluda keeld edastada isikuandmeid kolmandatele isikutele või kasutada neid muul eesmärgil kui see, milleks neid vastuvõtjale edastati, või teavitada andmesubjekti teabe saamise õiguse piirangu korral ilma andmeid edastava pädeva asutuse eelneva nõusolekuta. Kõnealused kohustused peaksid kohalduma ka andmete edastamisele pädeva asutuse poolt kolmandates riikides asuvatele vastuvõtjatele või rahvusvahelistele organisatsioonidele. Liikmesriigid peaksid tagama, et andmeid edastav pädev asutus ei kohalda teistes liikmesriikides asuvate vastuvõtjate ega ELi toimimise lepingu V jaotise 4. ja 5. peatüki kohaselt loodud asutuste ja organite suhtes selliseid tingimusi, välja arvatud tingimused, mida kohaldatakse sarnasele andmeedastusele kõnealuse pädeva asutuse liikmesriigis.

(37)

Isikuandmeid, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti delikaatsed, väärivad erikaitset, sest nende töötlemise kontekst võib tekitada suurt ohtu põhiõigustele ja -vabadustele. Need isikuandmed peaks hõlmama isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas direktiivis ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu. Selliseid isikuandmeid ei tohiks töödelda, välja arvatud juhul, kui andmesubjekti õiguste ja vabaduste suhtes kohaldatakse töötlemisel asjakohaseid õiguses sätestatud kaitsemeetmeid, ning õiguses lubatud juhtudel; või kui töötlemine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks, kui sellise õiguse kohaselt ei ole see juba lubatud; või kui töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud. Andmesubjekti õiguste ja vabaduste asjakohased kaitsemeetmed võivad hõlmata võimalust koguda selliseid andmeid ainult seoses muude asjaomast füüsilist isikut käsitlevate andmetega, võimalust tagada kogutud andmete piisav turvalisus, rangemaid norme pädeva asutuse töötajate juurdepääsuks andmetele ja selliste andmete edastamise keelamist. Selliste isikuandmete töötlemine peaks samuti olema õigusaktiga lubatud, kui andmesubjekt on andnud sõnaselge nõusoleku selliseks isikuandmete töötlemiseks, mis on tema suhtes erakordselt sekkuv. Andmesubjekti nõusolek iseenesest ei peaks siiski olema õiguslik alus selliste delikaatsete isikuandmete töötlemiseks pädevate asutuste poolt.

(38)

Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes isikuandmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat otsust, millel on teda puudutavad negatiivsed õiguslikud tagajärjed või mis teda märkimisväärselt mõjutavad. Igal juhul tuleks sellise töötlemise korral kohaldada sobivaid kaitsemeetmeid, mis muu hulgas hõlmavad andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, eelkõige õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ja õigust otsust vaidlustada. Keelatud peaks olema profiilianalüüs, mille tulemusena diskrimineeritakse füüsilisi isikuid selliste isikuandmete alusel, mis on oma laadilt eriti delikaatsed seoses põhiõiguste ja -vabadustega, tingimustel, mis on sätestatud harta artiklites 21 ja 52.

(39)

Selleks et andmesubjekt saaks oma õigusi teostada, peaks teave olema talle hõlpsasti kättesaadav, muu hulgas peaks see olema esitatud vastutava töötleja veebisaidil ja kergesti arusaadav ning selgelt ja lihtsalt sõnastatud. Selline teave peaks olema kohandatud vastavalt kaitsetute isikute, nagu lapsed, vajadustele.

(40)

Tuleks ette näha kord, millega hõlbustatakse käesoleva direktiivi kohaselt vastu võetud sätete alusel andmesubjekti õiguste teostamist, sealhulgas mehhanismid, mille abil saab taotleda tutvumist isikuandmetega ja asjakohasel juhul eelkõige nendega tasuta tutvuda ning isikuandmete parandamist, kustutamist ja nende töötlemise piiramist. Vastutav töötleja peaks olema kohustatud vastama andmesubjektide taotlusele põhjendamatu viivituseta, välja arvatud juhul, kui vastutav töötleja kohaldab kooskõlas käesoleva direktiiviga andmesubjekti õiguste suhtes piiranguid. Peale selle, kui taotlused on selgelt põhjendamatud või ülemäärased, näiteks kui andmesubjekt põhjendamatult ja korduvalt taotleb teavet või kui andmesubjekt kuritarvitab oma õigust saada teavet, näiteks esitades taotluse esitamisel vale- või eksitavat teavet, peaks vastutav töötleja saama nõuda mõistlikku tasu või keelduda taotluse alusel toimingu tegemisest.

(41)

Kui vastutav töötleja taotleb andmesubjekti isiku kinnitamiseks vajaliku täiendava teabe esitamist, tuleks nimetatud teavet töödelda üksnes nimetatud konkreetsel eesmärgil ja seda ei tuleks säilitada kauem kui nimetatud eesmärgi jaoks vajalik.

(42)

Andmesubjektile tuleks kättesaadavaks teha vähemalt järgmine teave: vastutava töötleja isik, teave andmesubjekti isikuandmete töötlemise kohta, isikuandmete töötlemise eesmärk, õigus esitada kaebus ning õigus taotleda vastutavalt töötlejalt tutvumist oma isikuandmetega ning nende parandamist, kustutamist või nende töötlemise piiramist. Seda võib teha pädeva asutuse veebisaidil. Peale selle tuleks konkreetsetel juhtudel ja selleks, et võimaldada andmesubjektil teostada oma õigusi, teda teavitada töötlemise õiguslikust alusest ja sellest, kui kaua andmeid säilitatakse, niivõrd kuivõrd selline täiendav teave on vajalik, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, et tagada isikuandmete õiglane töötlemine andmesubjekti suhtes.

(43)

Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks füüsilisel isikul olema õigus tutvuda andmetega, mis on tema kohta kogutud, ning seda õigust lihtsalt ja mõistlike ajavahemike järel teostada. Igal andmesubjektil peaks seega olema õigus teada isikuandmete töötlemise eesmärke, töötlemise ajavahemikku ja andmete vastuvõtjaid, sealhulgas kolmandates riikides, ning saada eelneva kohta teavet. Kui sellise teavitamise käigus antakse teavet isikuandmete päritolu kohta, ei tohiks selline teave paljastada füüsiliste isikute identiteeti ja eelkõige konfidentsiaalseid allikaid. Kõnealuse õiguse tagamiseks piisab, kui andmesubjektil on olemas arusaadaval kujul nimetatud andmete täielik kokkuvõte, s.o andmed kujul, mis võimaldab andmesubjektil saada nendest andmetest teadlikuks ning kontrollida, et need on õiged ja neid töödeldakse käesoleva direktiivi kohaselt, nii et tal on võimalik teostada talle käesoleva direktiiviga antud õigusi. Sellise kokkuvõtte võib esitada töödeldavate isikuandmete koopiana.

(44)

Liikmesriikidel peaks asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades olema võimalik võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile teabe hilisem või piiratud esitamine või esitamata jätmine või tema isikuandmetega tutvumise täielik või osaline piiramine sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks, süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise kahjustamise vältimiseks või kriminaalkaristuste täitmisele pööramiseks ning avaliku julgeoleku või riigi julgeoleku kaitsmiseks või teiste isikute õiguste ja vabaduste kaitsmiseks. Vastutav töötleja peaks iga konkreetse juhtumi puhul eraldi ja individuaalse uurimise käigus hindama, kas isikuandmetega tutvumise õigust tuleks osaliselt või täielikult piirata.

(45)

Andmesubjekti tuleks põhimõtteliselt teavitada kirjalikult isikuandmetega tutvumisest keeldumisest või selle piiramisest ning see teade peaks sisaldama otsuse faktilisi ja õiguslikke põhjusi.

(46)

Andmesubjekti õiguste piiramine peaks olema kooskõlas harta ning Euroopa inimõiguste konventsiooniga, nagu neid tõlgendavad Euroopa Kohus ja Euroopa Inimõiguste Kohus oma praktikas, ning eelkõige tuleb seejuures austada nende õiguste ja vabaduste põhiolemust.

(47)

Füüsilisel isikul peaks olema õigus teda käsitlevate ebaõigete isikuandmete parandamisele, eelkõige juhul, kui tegemist on faktiliste andmetega, ja kustutamisele, kui selliste andmete töötlemine rikub käesolevat direktiivi. Siiski ei tohiks andmete parandamise õigus mõjutada näiteks tunnistaja ütluse sisu. Füüsilisel isikul peaks samuti olema õigus isikuandmete töötlemise piiramisele, kui ta vaidlustab isikuandmete õigsuse ja kui nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või kui isikuandmeid tuleb säilitada tõendamise eesmärgil. Eelkõige tuleks isikuandmete kustutamise asemel nende töötlemist piirata, kui konkreetsel juhul on põhjendatult alust arvata, et andmete kustutamine võib kahjustada andmesubjekti õigustatud huve. Piiratud isikuandmeid tuleks sellisel juhul töödelda üksnes sel eesmärgil, mis takistas nende kustutamist. Isikuandmete töötlemise piiramise meetodid võivad muu hulgas hõlmata valitud andmete ümberpaigutamist teise töötlemissüsteemi, näiteks arhiveerimise eesmärgil, või valitud andmete muutmist kättesaamatuks. Automaatsetes andmete kogumites tuleks isikuandmete töötlemise piiramine tagada üldjuhul tehniliste vahenditega. Asjaolu, et isikuandmete töötlemine on piiratud, tuleks süsteemis esitada selliselt, et isikuandmete töötlemisele seatud piirangu olemasolu oleks selge. Isikuandmete parandamisest, kustutamisest ja nende töötlemise piiramisest tuleks teavitada vastuvõtjaid, kellele isikuandmed on avaldatud, ning pädevaid asutusi, kellelt ebaõiged andmed pärinevad. Samuti peaksid vastutavad töötlejad hoiduma selliste andmete edasisest levitamisest.

(48)

Kui vastutav töötleja jätab andmesubjekti ilma tema õigusest saada teavet, isikuandmetega tutvuda või neid parandada, kustutada või piirata nende töötlemist, peaks andmesubjektil olema õigus taotleda riigi järelevalveasutuselt töötlemise seaduslikkuse kontrollimist. Andmesubjekti tuleks nimetatud õigusest teavitada. Kui järelevalveasutus tegutseb andmesubjekti nimel, peaks järelevalveasutus teatama andmesubjektile vähemalt seda, et ta on teostanud kogu vajaliku kontrolli või kõik vajalikud läbivaatused. Järelevalveasutus peaks ühtlasi teavitama andmesubjekti õigusest kasutada õiguskaitsevahendit.

(49)

Kui isikuandmeid töödeldakse kriminaaluurimise ja kriminaalkohtumenetluse käigus, peaks liikmesriikidel olema võimalik ette näha, et teabe saamise, isikuandmetega tutvumise ja nende parandamise, kustutamise ja nende töötlemise piiramise õigust teostatakse vastavalt kohtumenetlust käsitlevatele liikmesriigi õigusnormidele.

(50)

Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva direktiiviga. Selliste meetmete puhul tuleks arvestada isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele. Vastutava töötleja võetavad meetmed peaksid hõlmama kaitsetute füüsiliste isikute, nagu laste isikuandmete töötlemist käsitlevate konkreetsete kaitsemeetmete väljatöötamist ja rakendamist.

(51)

Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, varaline või mittevaraline kahju, eelkõige juhtudel, kui isikuandmete töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu, pseudonümiseerimise loata lõpetamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi või ametiühingusse kuulumist; kui töödeldakse geneetilisi või biomeetrilisi andmeid, et isik kordumatult tuvastada, või kui töödeldakse andmeid tervise, seksuaalelu või seksuaalse sättumuse kohta ning süüteolasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel ja prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eelkõige laste isikuandmeid, või kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte.

(52)

Ohtu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes isikuandmete töötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks, kas isikuandmete töötlemise toimingutega kaasneb suur oht. Suur oht on konkreetne andmesubjektide õiguste ja vabaduste kahjustamise oht.

(53)

Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva direktiivi nõuete täitmine. Selliste meetmete rakendamine ei tohiks sõltuda üksnes majanduslikest kaalutlustest. Selleks et olla võimeline tõendama käesoleva direktiivi täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis järgivad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid. Kui vastutav töötleja on teinud käesolevas direktiivis nõutud andmekaitsealase mõjuhinnangu, tuleks mainitud meetmete ja korra väljatöötamisel selle tulemusi arvesse võtta. Kõnealuste meetmete hulka võiks muu hulgas kuuluda pseudonümiseerimise võimalikult kiire kasutuselevõtmine. Pseudonümiseerimise kasutamine käesoleva direktiivi eesmärkidel võib olla vahend, mis võiks kaasa aidata isikuandmete vabale liikumisele vabadusel, turvalisusel ja õigusel rajaneva ala piires.

(54)

Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas seoses järelevalveasutuste teostatava järelevalve ja nende võetavate meetmetega eeldab käesolevas direktiivis sätestatud vastutusvaldkondade selget jaotamist, seda ka juhul, kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui isikuandmete töötlemise toimingut teostatakse vastutava töötleja nimel.

(55)

Isikuandmete töötlemine volitatud töötleja poolt peaks olema reguleeritud õigusaktiga, milles muu hulgas käsitletakse volitatud töötlejat ja vastutavat töötlejat omavahel siduvat lepingut ning sätestatakse eelkõige, et volitatud töötleja peaks tegutsema ainult vastavalt vastutava töötleja juhistele. Volitatud töötleja peaks arvesse võtma lõimitud ja vaikimisi andmekaitse põhimõtet.

(56)

Käesoleva direktiivi täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja dokumenteerima kõik tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute liigid. Iga vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema taotluse korral nimetatud dokumentatsiooni järelevalveasutusele kättesaadavaks, et seda saaks kasutada kõnealuste töötlemise toimingute järelevalveks. Isikuandmeid mitteautomatiseeritud töötlemissüsteemides töötlev vastutav töötleja või volitatud töötleja peaks kasutama tõhusaid meetodeid isikuandmete töötlemise seaduslikkuse tõendamiseks, siseseire võimaldamiseks ning andmete tervikluse ja turvalisuse tagamiseks, näiteks logide või muude säilitamisviiside kujul.

(57)

Logisid tuleks pidada vähemalt automatiseeritud töötlemissüsteemides tehtavate toimingute kohta, nagu andmete kogumine, muutmine, lugemine, avalikustamine, sealhulgas edastamine, ühendamine ja kustutamine. Logida tuleks isikuandmeid lugenud või avalikustanud isiku identifitseerimisandmed ja kõnealuste identifitseerimisandmete põhjal peaks olema võimalik kindlaks teha isikuandmete töötlemise toimingu põhjendus. Logisid tuleks kasutada üksnes isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, andmete tervikluse ja turvalisuse tagamiseks ning kriminaalmenetlustes. Siseseire hõlmab ka pädevate asutuste siseseid distsiplinaarmenetlusi.

(58)

Kui on tõenäoline, et isikuandmete töötlemise toimingute tõttu tekib suur oht andmesubjektide õigustele ja vabadustele nende laadi, ulatuse või eesmärkide tõttu, peaks vastutav töötleja teostama andmekaitsealase mõjuhinnangu, mis peaks konkreetsemalt sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme, et tagada isikuandmete kaitse ja tõendada vastavust käesolevale direktiivile. Mõjuhinnangud peaksid hõlmama isikuandmete töötlemise toimingute asjaomaseid süsteeme ja menetlusi, kuid mitte üksikjuhtumeid.

(59)

Selleks et tagada andmesubjekti õiguste ja vabaduste tõhus kaitse, peaks vastutav töötleja või volitatud töötleja teatavatel juhtudel enne isikuandmete töötlemise algust konsulteerima järelevalveasutusega.

(60)

Turvalisuse tagamiseks ja käesolevat direktiivi rikkuva töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Selliste meetmetega tuleks tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, ja võtta arvesse teaduse ja tehnoloogia viimast arengut, ohule vastavaid rakenduskulusid ja kaitstavate isikuandmete laadi. Andmeturbeohtusid hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohtusid, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine või loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, varaline või mittevaraline kahju. Vastutav töötleja ja volitatud töötleja peaksid tagama, et isikuandmeid ei töötle volitamata isikud.

(61)

Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, varalise või mittevaralise kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata lõpetamine, maine kahjustamine, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. Seetõttu, niipea kui vastutav töötleja saab teada, et toimunud on isikuandmetega seotud rikkumine, peaks ta sellest põhjendamatu viivituseta teatama järelevalveasutusele ning võimaluse korral 72 tunni jooksul pärast rikkumisest teada saamist, välja arvatud juhul kui vastutav töötleja saab kooskõlas vastutamise põhimõttega tõendada, et rikkumise tulemusena ei teki tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele. Kui 72 tunni jooksul ei ole võimalik teatada, tuleks teatisele lisada viivituse põhjused ning selle teabe võib anda järk-järgult ilma põhjendamatu viivituseta.

(62)

Füüsilist isikut tuleks põhjendamatu viivituseta teavitada, kui isikuandmetega seotud rikkumise tulemusena tekib tõenäoliselt suur oht füüsilise isiku õigustele ja vabadustele, et ta saaks võtta vajalikke ettevaatusabinõusid. Teatises tuleks kirjeldada isikuandmetega seotud rikkumise olemust ning anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teatis tuleks saata andmesubjektile nii kiiresti kui mõistlikkuse piires võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjaomaste asutuste suunistest. Näiteks kahju tekkimise otsese ohtu leevendamise vajadus nõuaks andmesubjekti kohest teavitamist, samal ajal kui vajadus rakendada asjakohaseid meetmeid isikuandmetega seonduvate rikkumiste jätkumise või samalaadsete rikkumiste ärahoidmiseks võib õigustada hilisemat teavitamist. Kui asjaomase füüsilise isiku isikuandmetega seotud rikkumistest teavitamisega viivitamisega või teavitamise piiramisega ei ole võimalik vältida ametlike või õiguslike päringute, uurimiste või menetluste takistamist, süütegude tõkestamise, avastamise, uurimise või nende eest vastutusele võtmise kahjustamist või saavutada kriminaalkaristuste täitmisele pööramist, avaliku julgeoleku või riigi julgeoleku kaitsmist või teiste isikute õiguste ja vabaduste kaitsmist, võib erakorralisel juhul jätta andmesubjekti selliselt teavitamata.

(63)

Vastutav töötleja peaks määrama isiku, kes aitab tal valvata käesoleva direktiivi kohaselt vastu võetud sätete asutusesisese täitmise järele, välja arvatud juhul, kui liikmesriik otsustab vabastada sellest kohustusest kohtud ja muud sõltumatud õigusasutused menetlusotsuste tegemisel. Nimetatud isik võib olla vastutava töötleja olemasoleva personali hulka kuuluv töötaja, kes on saanud andmekaitsealase õiguse ja tava kohta eriväljaõppe, et omandada kõnealases valdkonnas ekspertteadmised. Ekspertteadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt isikuandmete töötlemise laadile ning vastutava töötleja töödeldavate isikuandmete kaitsmise nõuetele. Tema ülesannete täitmine võib toimuda osalise tööaja või täistööaja alusel. Mitu vastutavat töötlejat võivad ühiselt määrata ühe andmekaitseametniku, võttes arvesse nende asutuste organisatsioonilist struktuuri ja suurust, näiteks juhul, kui keskasutuses on ühised vahendid. Nimetatud isiku võib asjaomaste vastutavate töötlejate struktuuris määrata erinevatele ametikohtadele. Nimetatud isik peaks aitama vastutavat töötlejat ja isikuandmeid töötlevaid töötajaid, andes neile teavet ja nõu asjakohaste isikuandmete kaitse kohustuste täitmise kohta. Sellistel andmekaitseametnikel peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatult kooskõlas liikmesriigi õigusega.

(64)

Liikmesriigid peaksid tagama, et isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui see on vajalik süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, ja kui kolmanda riigi või rahvusvahelise organisatsiooni vastutav töötleja on käesoleva direktiivi tähenduses pädev asutus. Andmeid peaks edastama üksnes vastutava töötlejana tegutsev pädev asutus, välja arvatud juhul, kui volitatud töötlejale on antud sõnaselge korraldus edastada andmeid vastutava töötleja nimel. Isikuandmeid võib selliselt edastada juhul, kui komisjon on teinud otsuse, et kolmas riik või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme, kui on kehtestatud piisavad kaitsemeetmed või kui kohaldatakse erandeid eriolukordades. Isikuandmete edastamisel liidust vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele ei tohiks kahjustada käesoleva direktiiviga tagatud füüsiliste isikute kaitse taset liidus, sealhulgas juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis.

(65)

Kui liikmesriik edastab isikuandmeid kolmandatele riikidele või rahvusvahelistele organisatsioonidele, peaks seda põhimõtteliselt tegema alles pärast seda, kui liikmesriik, kust andmed saadi, on andnud nende edastamiseks loa. Tõhusa õiguskaitsealase koostöö huvides on vaja, et kui liikmesriigi või kolmanda riigi avalikku julgeolekut või liikmesriigi olulisi huve ähvardav oht on olemuselt nii vahetu, et ei ole võimalik õigeaegselt eelnevat luba saada, peaks pädeval asutusel olema võimalik edastada asjakohased isikuandmed asjaomasele kolmandale riigile või rahvusvahelisele organisatsioonile ilma sellise eelneva loata. Liikmesriigid peaksid sätestama, et edastamist käsitlevad eritingimused tuleks saata kolmandatele riikidele või rahvusvahelistele organisatsioonidele. Isikuandmete edasi saatmise tingimuseks peaks olema andmed algselt edastanud pädeva asutuse eelnev luba. Tehes otsust andmete edasi saatmiseks loa saamise taotluse kohta, peaks algselt andmed edastanud pädev asutus võtma nõuetekohaselt arvesse kõiki asjakohaseid tegureid, muu hulgas süüteo raskust, kohalduvaid eritingimusi ja andmete algse edastamise eesmärki, kriminaalkaristuse täitmisele pööramise laadi ja tingimusi ning isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse. Peale selle peaks andmed algselt edastanud pädev asutus saama kehtestada andmete edasisaatmisele eritingimusi. Sellised eritingimusi võib kirjeldada näiteks menetluskoodide kehtestamisel.

(66)

Komisjon peaks saama kogu liitu puudutavalt otsustada, et teatav kolmas riik, kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon pakuvad isikuandmete kaitset piisaval tasemel, tagades seega kogu liidus õiguskindluse ja ühtsuse nende kolmandate riikide ja rahvusvaheliste organisatsioonide osas, mille puhul loetakse, et nad tagavad isikuandmete kaitse piisaval tasemel. Sellisel juhul võib isikuandmeid edastada kõnealustesse riikidesse ilma eriloata, välja arvatud juhul, kui muu liikmesriik, kust andmed saadi, peab andma edastamiseks loa.

(67)

Kooskõlas põhiväärtustega, millele liit on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi või kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori hindamisel arvesse võtma seda, kuidas konkreetne kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest ning oma üldistest ja valdkondlikest õigusaktidest, sealhulgas õigusaktidest, mis käsitlevad avalikku julgeolekut, riigikaitset ja riiklikku julgeolekut, samuti avalikku korda ja kriminaalõigust. Võttes vastu kaitse piisavuse otsust seoses kolmanda riigi territooriumi või kindlaksmääratud sektoriga, tuleks arvesse võtta selgeid ja objektiivseid kriteeriume, näiteks konkreetseid isikuandmete töötlemise toiminguid ja kohaldatavate õigusnormide kohaldamisala ning kolmandas riigis kehtivaid õigusakte. Kolmas riik peaks võtma kohustuse tagada piisav kaitse tase, mis sisuliselt vastab liidus tagatava kaitse tasemele, eelkõige juhul, kui andmeid töödeldakse ühes või mitmes kindlaksmääratud sektoris. Eelkõige peaks kolmas riik tagama andmete kaitse tõhusa ja sõltumatu järelevalve ning nägema ette liikmesriikide andmekaitseasutustega tehtava koostöö mehhanismid, samuti tuleks andmesubjektidele tagada tõhusad ja kohtulikult kaitstavad õigused ning tõhus haldus- ja õiguskaitse.

(68)

Lisaks kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelistele kohustustele peaks komisjon võtma arvesse ka kohustusi, mis tulenevad kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega, samuti selliste kohustuste rakendamist. Eelkõige tuleks arvesse võtta kolmanda riigi ühinemist Euroopa Nõukogu 28. jaanuari 1981. aasta isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni ja selle lisaprotokolliga. Kolmandate riikide või rahvusvaheliste organisatsioonide kaitse taseme hindamisel peaks komisjon konsulteerima määrusega (EL) 2016/679 asutatud Euroopa Andmekaitsenõukoguga („andmekaitsenõukogu“). Samuti peaks komisjon arvesse võtma kõiki asjaomaseid määruse (EL) 2016/679 artikli 45 kohaselt vastu võetud komisjoni otsuseid kaitse piisavuse kohta.

(69)

Komisjon peaks valvama nende otsuste toimimise järele, milles käsitletakse kaitse taset kolmandas riigis või kolmanda riigi territooriumil või kolmanda riigi kindlaksmääratud sektoris või rahvusvahelises organisatsioonis. Komisjon peaks kaitse piisavuse otsustes nägema ette nende toimimise korrapärase läbivaatamise mehhanismi. Nimetatud korrapärane läbivaatamine peaks toimuma asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsulteerides ning arvesse tuleks võtta kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis.

(70)

Komisjonil peaks samuti olema võimalik tunnistada, et kolmas riik, kolmanda riigi territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel andmekaitset. Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile või rahvusvahelisele organisatsioonile keelata, välja arvatud juhul, kui täidetakse käesoleva direktiivi nõudeid edastamisel kasutatavate asjakohaste kaitsemeetmete kohta ja erandite kohta eriolukordades. Ette tuleks näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni vahelise konsulteerimise kord. Komisjon peaks kolmandat riiki või rahvusvahelist organisatsiooni õigeaegselt põhjustest teavitama ja alustama nendega konsultatsioone, et olukorda parandada.

(71)

Isikuandmete edastamine ilma kaitse piisavuse otsuseta peaks olema lubatud üksnes juhul, kui õiguslikult siduvas aktis on sätestatud isikuandmete kaitseks asjakohased kaitsemeetmed või kui vastutav töötleja, olles hinnanud kõiki andmete edastamisega seotud asjaolusid, on kõnealusest hinnangust lähtudes seisukohal, et isikuandmete kaitseks vajalikud kaitsemeetmed on võetud. Selline õiguslikult siduv akt võiks näiteks olla õiguslikult siduv kahepoolne leping, mille sõlmivad liikmesriigid ja mida rakendatakse nende õiguskorras ning mida võivad jõustada nende andmesubjektid, tagades andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, mis hõlmab õigust tõhusale haldus- või õiguskaitsele. Andmete edastamist puudutavate kõigi asjaolude hindamisel peaks vastutav töötleja saama võtta arvesse Europoli või Eurojusti ja kolmandate riikide vahel sõlmitud koostöökokkuleppeid, mis võimaldavad isikuandmete vahetamist. Vastutav töötleja peaks saama võtta arvesse ka asjaolu, et isikuandmete edastamisele kohaldatakse konfidentsiaalsuse kohustust ja sihtotstarbelisuse põhimõtet, millega tagatakse, et andmeid ei töödelda muul kui edastamisega seotud eesmärgil. Lisaks peaks vastutav töötleja võtma arvesse seda, et isikuandmeid ei kasutata selleks, et taotleda surmanuhtlust või muud julma ja ebainimlikku kohtlemist, anda selleks käsk või viia see täide. Kuigi kõnealuseid tingimusi võib lugeda asjakohasteks kaitsemeetmeteks, mis võimaldavad andmete edastamist, peaks vastutav töötleja saama nõuda täiendavaid kaitsemeetmeid.

(72)

Kaitse piisavuse otsuse või asjakohaste kaitsemeetmete puudumise korral võivad edastamine või teatud kategooriasse kuuluvad edastamistoimingud toimuda üksnes eriolukordades, kui see on vajalik selleks, et kaitsta andmesubjekti või muu isiku elulisi huve või tagada andmesubjekti õigustatud huvid, kui isikuandmeid edastava liikmesriigi õiguses on nii sätestatud või kui see on vajalik, et vältida vahetut ja tõsist ohtu liikmesriigi või kolmanda riigi avalikule julgeolekule, või see on üksikjuhtumi korral vajalik süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, või kui see on üksikjuhtumi korral vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. Kõnealuseid erandeid tuleks tõlgendada kitsalt ning need ei tohiks võimaldada isikuandmete sagedast, ulatuslikku ja struktuurset edastamist ega andmete suuremahulist edastamist, vaid peaks piirduma rangelt vajalike andmetega. Selline edastamine tuleks dokumenteerida ning need dokumendid tuleks teha järelevalveasutusele taotluse korral kättesaadavaks, et valvata edastamise seaduslikkuse järele.

(73)

Liikmesriikide pädevad asutused kohaldavad kolmandate riikidega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal sõlmitud kehtivaid kahepoolseid või mitmepoolseid rahvusvahelisi lepinguid, et vahetada asjakohast teavet, mis võimaldab neil täita neile seaduslikult antud ülesandeid. Põhimõtteliselt toimub see asjaomaste kolmandate riikide asutuste kaudu, kes on pädevad käesoleva direktiivi eesmärkidel, või vähemalt nendega koostöös, mõnikord isegi ilma, et oleks sõlmitud kahepoolne või mitmepoolne rahvusvaheline leping. Siiski võib konkreetsetel üksikjuhtudel juhtuda, et tavapärased menetlused, mis nõuavad ühenduse võtmist sellise kolmanda riigi asutusega, ei ole mõjusad või asjakohased, eelkõige seetõttu, et andmeid ei saaks edastada õigeaegselt, või seetõttu, et kõnealune kolmanda riigi asutus ei austa õigusriigi põhimõtet või rahvusvahelisi inimõigustealaseid norme ja standardeid, mistõttu liikmesriikide pädevad asutused võiksid otsustada edastada isikuandmed otse kõnealustes kolmandates riikides asuvatele vastuvõtjatele. Selline olukord võib tekkida siis, kui isikuandmeid on vaja edastada kiiresti, et päästa süüteo ohvriks langemise ohus oleva isiku elu või hoida ära lähiajal toimepandav kuritegu, sealhulgas terroriakt. Isegi juhul, kui selliselt edastataks andmeid pädevate asutuste ja kolmandates riikides asuvate vastuvõtjate vahel üksnes konkreetsetel üksikjuhtudel, tuleks käesolevas direktiivis ette näha tingimused selliste juhtude reguleerimiseks. Nimetatud sätteid ei tuleks käsitleda erandina ühestki kehtivast kahepoolsest või mitmepoolsest rahvusvahelisest lepingust kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal. Nimetatud põhimõtteid tuleks kohaldada lisaks käesoleva direktiivi muudele normidele, eelkõige töötlemise seaduslikkust käsitlevatele ja V peatükis sisalduvatele normidele.

(74)

Isikuandmete liikumine üle piiride võib raskendada füüsiliste isikute võimalusi kasutada oma isikuandmete kaitse õigust, et kaitsta end kõnealuste andmete ebaseadusliku kasutamise ja avalikustamise eest. Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega toimetada uurimist väljapoole oma riigi piire jäävates küsimustes. Järelevalveasutuste piiriülese koostöö püüdlusi võivad takistada ka ebapiisavad volitused tõkestamiseks ja kaitsemeetmete võtmiseks ning õiguskordade erinevused. Seepärast on vaja tihendada andmekaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet teiste riikide järelevalveasutustega.

(75)

Liikmesriikides täiesti sõltumatult oma tööülesandeid täita saavate järelevalveasutuste loomine on oluline, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Järelevalveasutused peaksid valvama käesoleva direktiivi kohaldamise järele ja aitama kaasa selle järjekindlale kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga.

(76)

Liikmesriigid võivad panna määruse (EL) 2016/679 kohaselt juba loodud järelevalveasutustele ülesande täita käesoleva direktiivi kohaselt loodavate riiklike järelevalveasutuste ülesandeid.

(77)

Liikmesriikidel peaks olema õigus luua mitu järelevalveasutust vastavalt nende põhiseaduslikule, organisatsioonilisele ja haldusstruktuurile. Igale järelevalveasutusele tuleks anda rahalised ja inimressursid, ruumid ja taristu, mis on vajalikud nende ülesannete, sealhulgas kogu liidus teiste järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks. Igal järelevalveasutusel peaks olema eraldi avalik aastaeelarve, mis võib olla piirkonna või riigi üldeelarve osa.

(78)

Järelevalveasutustele tuleks nende rahaliste kulutuste osas kohaldada sõltumatuid kontrolli- või järelevalvemehhanisme, tingimusel et selline finantskontroll ei mõjuta nende sõltumatust.

(79)

Järelevalveasutuse liikmele või liikmetele esitatavad üldtingimused tuleks kehtestada liikmesriigi õigusega ning neis tuleks eelkõige ette näha see, et liikmed peaks valitsuse või valitsuse liikme või parlamendi või parlamendi koja ettepaneku alusel nimetama läbipaistva menetluse teel ametisse liikmesriigi parlament või valitsus või riigipea või liikmesriigi õiguse kohaselt volitatud sõltumatu asutus. Järelevalveasutuse sõltumatuse tagamiseks peaks liige või liikmed käituma ausalt, hoiduma oma kohustustega kokkusobimatust tegevusest ja ei peaks töötama oma ametiaja jooksul ühelgi oma kohustustega kokkusobimatul tasustataval ega mittetasustataval ametikohal. Järelevalveasutuse sõltumatuse tagamiseks peaks töötajad valima järelevalveasutus, kes võib selleks kaasata liikmesriigi õiguse kohaselt volitatud sõltumatu asutuse.

(80)

Kuigi käesolevat direktiivi kohaldatakse ka liikmesriikide kohtute ja muude õigusasutuste tegevuse suhtes, ei tohiks järelevalveasutuste pädevus hõlmata isikuandmete töötlemist, kui kohtud täidavad õigusemõistmise funktsiooni, et kaitsta kohtunike sõltumatust nende õigusemõistmise funktsiooni täitmisel. Kõnealune erand peaks piirduma õiguskaitseasutuste tegevusega kohtuasjades ega tohiks laieneda muule tegevusele, millega kohtunikud on seotud vastavalt liikmesriigi õigusele. Samuti peaks liikmesriikidel olema võimalik sätestada, et järelevalveasutuse pädevus ei hõlma isikuandmete töötlemist muu sõltumatu õigusasutuse, näiteks prokuratuuri poolt, kui ta teeb menetlusotsuseid. Igal juhul kohaldatakse käesoleva direktiivi normide täitmise suhtes kohtute ja muude sõltumatute õigusasutuste poolt alati sõltumatut järelevalvet kooskõlas harta artikli 8 lõikega 3.

(81)

Järelevalveasutus peaks käsitlema andmesubjekti poolt esitatud kaebusi ja küsimust uurima või edastama selle pädevale järelevalveasutusele. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks andmesubjekti sellest teavitada.

(82)

Selleks et tagada kogu liidus mõjus, usaldusväärne ja sidus käesoleva direktiivi järgimise järelevalve ja selle tagamine kooskõlas ELi toimimise lepinguga, nagu seda tõlgendab Euroopa Kohus, peaks järelevalveasutustel olema igas liikmesriigis samad ülesanded ja tegelikud volitused, sealhulgas uurimis-, parandus- ja nõuandevolitused, mis on nendele antud ülesannete täitmiseks vajalikud. Nende volitused ei tohiks aga mõjutada kriminaalmenetluse, sealhulgas süütegude uurimise ja nende eest vastutusele võtmise kohta sätestatud erinorme ega kohtusüsteemi sõltumatust. Ilma et see mõjutaks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, peaksid järelevalveasutused olema ka volitatud tegema käesoleva direktiivi rikkumised teatavaks õigusasutustele või osalema kohtumenetluses. Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriigi õigusega sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul. Eelkõige peaks iga meede olema asjakohane, vajalik ja proportsionaalne käesoleva direktiivi järgimise tagamise seisukohast, võttes arvesse üksikjuhtumi asjaolusid, austama iga isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele. Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi õiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue. Õiguslikult siduva otsuse vastuvõtmisele tuleks kohaldada kohtulikku kontrolli otsuse vastu võtnud järelevalveasutuse liikmesriigis.

(83)

Järelevalveasutused peaksid üksteist oma ülesannete täitmisel abistama ja andma vastastikust abi, et tagada käesoleva direktiivi kohaselt vastu võetud sätete järjekindel kohaldamine ja täitmine.

(84)

Andmekaitsenõukogu peaks aitama kaasa käesoleva direktiivi järjekindlale kohaldamisele kogu liidus, sealhulgas nõustades komisjoni ja edendades järelevalveasutuste koostööd kogu liidus.

(85)

Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva direktiivi kohaselt vastu võetud sätete kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Pädev järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks andmesubjekti sellest teavitada. Järelevalveasutus peaks võtma meetmed kaebuste esitamise hõlbustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, välistamata muude sidevahendite kasutamist.

(86)

Igal füüsilisel või juriidilisel isikul peaks olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on kõnealuse isiku suhtes õiguslikud tagajärjed. Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Kõnealune õigus ei hõlma siiski järelevalveasutuste muid, õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid. Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi õigusega. Kõnealustel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud.

(87)

Kui andmesubjekt leiab, et tema käesoleva direktiivi kohaseid õigusi on rikutud, peaks tal olema õigus volitada asutust, mille eesmärk on kaitsta andmesubjektide isikuandmete kaitsega seonduvaid õigusi ja huve ning mis on loodud liikmesriigi õiguse alusel, esitama tema nimel järelevalveasutusele kaebus ning teostama tema nimel õigust õiguskaitsevahendile. Andmesubjekti esindusõigus ei tohiks mõjutada liikmesriigi menetlusõigust, milles võib sisalduda nõue, et andmesubjekti peab liikmesriigi kohtutes esindama jurist, nagu on kindlaks määratud nõukogu direktiivis 77/249/EMÜ (10).

(88)

Vastutav töötleja või muu liikmesriigi õiguse kohaselt pädev asutus peaks hüvitama kahju, mille füüsilisele isikule võib põhjustada käesoleva direktiivi kohaselt vastu võetud sätteid rikkuv isikuandmete töötlemine. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva direktiivi eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tulenevaid kahjunõudeid. Kui viidatakse isikuandmete töötlemisele, mis on ebaseaduslik või rikub käesoleva direktiivi kohaselt vastu võetud sätteid, hõlmab see samuti isikuandmete töötlemist, mis rikub käesoleva direktiivi kohaselt vastu võetud rakendusakte. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud.

(89)

Igale füüsilisele isikule ja eraõiguslikule või avalik-õiguslikule juriidilisele isikule, kes rikub käesolevat direktiivi, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja heidutavad, ning võtma kõik meetmed karistuste täitmisele pööramiseks.

(90)

Selleks et tagada käesoleva direktiivi ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused järgmistes küsimustes: kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; vastastikuse abistamise vorm ja kord ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse kord. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (11).

(91)

Kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelises organisatsiooni kaitse piisava taseme, vastastikuse abistamise vormi ja korda ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korda käsitlevate rakendusaktide vastuvõtmiseks tuleks kasutada kontrollimenetlust, kuna nimetatud rakendusaktid on üldise iseloomuga.

(92)

Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelise organisatsiooniga, kes enam ei taga isikuandmete kaitse piisavat taset, ning kui tungiv kiireloomulisus seda nõuab, peaks komisjon võtma vastu viivitamata kohaldatavad rakendusaktid.

(93)

Kuna käesoleva direktiivi eesmärke, nimelt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ning tagada liidus isikuandmete vaba vahetamine pädevate asutuste vahel, ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid meetme ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas ELi lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(94)

See ei tohiks mõjutada kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal vastu võetud liidu õigusaktide erisätteid, mis võeti vastu enne käesoleva direktiivi vastuvõtmise kuupäeva ning millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist või liikmesriigi määratud asutuste juurdepääsu aluslepingute kohaselt loodud infosüsteemidele, nagu näiteks isikuandmete kaitset käsitlevad erisätted, mida kohaldatakse nõukogu otsuse 2008/615/JSK (12) kohaselt või Euroopa Liidu liikmesriikide vahelist vastastikust õigusabi kriminaalasjades käsitleva konventsiooni (13) artikli 23 kohaselt. Kuna harta artiklis 8 ja ELi toimimise lepingu artiklis 16 nõutakse, et põhiõigust isikuandmete kaitsmisele tagatakse järjekindlal viisil kogu liidus, peaks komisjon hindama olukorda, mis tuleneb seosest käesoleva direktiivi ja enne käesoleva direktiivi vastuvõtmise kuupäeva vastu võetud liidu õigusaktide vahel, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute kohaselt loodud infosüsteemidele, et hinnata vajadust viia nimetatud erisätted kooskõlla käesoleva direktiiviga. Asjakohasel juhul peaks komisjon tegema ettepanekuid, et tagada isikuandmete töötlemist käsitlevate õigusnormide sidusus.

(95)

Selleks et tagada liidus isikuandmete igakülgne ja sidus kaitse, peaksid rahvusvahelised lepingud, mille liikmesriigid on sõlminud enne käesoleva direktiivi jõustumise kuupäeva ja mis on kooskõlas enne kõnealust kuupäeva kohaldatava asjaomase liidu õigusega, jääma jõusse kuni nende muutmise, asendamise või lõpetamiseni.

(96)

Liikmesriikidele tuleks anda käesoleva direktiivi ülevõtmiseks tähtaeg, mis ei ületa kahte aastat käesoleva direktiivi jõustumise kuupäevast. Isikuandmete töötlemine, mida on juba alustatud enne kõnealust kuupäeva, tuleks viia käesoleva direktiiviga kooskõlla kahe aasta jooksul pärast käesoleva direktiivi jõustumist. Kui selline töötlemine on aga kooskõlas enne käesoleva direktiivi jõustumise kuupäeva kohaldatava liidu õigusega, ei tuleks käesoleva direktiivi nõudeid, mis puudutavad järelevalveasutusega eelnevat konsulteerimist, kohaldada enne kõnealust kuupäeva juba alustatud isikuandmete töötlemise toimingute suhtes, kuna nimetatud nõuded peavad oma olemuse tõttu olema täidetud enne isikuandmete töötlemise alustamist. Kui liikmesriik kasutab enne käesoleva direktiivi jõustumise kuupäeva loodud automatiseeritud töötlemissüsteemi puhul logi pidamise kohustuse täitmiseks pikemat rakendamistähtaega, mis lõpeb seitsme aasta möödumisel kõnealusest kuupäevast, peaks vastutav töötleja või volitatud töötleja kasutama tõhusat meetodit isikuandmete töötlemise seaduslikkuse tõendamiseks, siseseire võimaldamiseks ning isikuandmete tervikluse ja turvalisuse tagamiseks, näiteks logide või muude säilitamisviiside kujul.

(97)

Käesolev direktiiv ei piira laste seksuaalse kuritarvitamise ja ärakasutamise ning lapsporno vastase võitluse norme, mis on kehtestatud Euroopa Parlamendi ja nõukogu direktiiviga 2011/93/EL (14).

(98)

Raamotsus 2008/977/JSK tuleks seetõttu kehtetuks tunnistada.

(99)

ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei ole käesolevas direktiivis sätestatud normid füüsiliste isikute kaitse kohta isikuandmete töötlemisel liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse kuuluva tegevuse puhul Ühendkuningriigi ja Iirimaa suhtes siduvad, kui Ühendkuningriigi ja Iirimaa suhtes ei ole siduvad normid, mis käsitlevad õigusalast koostööd kriminaalasjades või politseikoostööd, mille raames tuleb järgida ELi toimimise lepingu artikli 16 alusel kehtestatud sätteid.

(100)

ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 22 (Taani seisukoha kohta) artiklite 2 ja 2a kohaselt ei ole käesolevas direktiivis sätestatud normid füüsiliste isikute kaitse kohta isikuandmete töötlemisel liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse kuuluva tegevuse puhul Taani suhtes siduvad ega kohaldatavad. Arvestades, et käesolev direktiiv põhineb ELi toimimise lepingu kolmanda osa V jaotise alusel Schengeni acquis'l, otsustab Taani kõnealuse protokolli artikli 4 kohaselt kuue kuu jooksul pärast käesoleva direktiivi vastuvõtmist, kas ta rakendab seda oma siseriiklikus õiguses.

(101)

Islandi ja Norra puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahelise lepingu (viimase kahe riigi osalemiseks Schengeni acquis' sätete rakendamises, kohaldamises ja edasiarendamises) (15) tähenduses.

(102)

Šveitsi puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis' rakendamise, kohaldamise ja edasiarendamisega) (16) tähenduses.

(103)

Liechtensteini puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahelise protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis' rakendamise, kohaldamise ja edasiarendamisega) (17) tähenduses.

(104)

Käesolevas direktiivis peetakse kinni ELi toimimise lepingus sätestatud ja hartas tunnustatud põhiõigustest ja põhimõtetest, eelkõige õigusest era- ja perekonnaelu austamisele ning isikuandmete kaitsele, tõhusale õiguskaitsevahendile ning õiglasele kohtulikule arutamisele. Nimetatud õiguste suhtes kehtestatud piirangud on kooskõlas harta artikli 52 lõikega 1, olles vajalikud liidu poolt tunnustatud üldist huvi pakkuvate eesmärkide saavutamiseks ning teiste isikute õiguste ja vabaduste kaitsmiseks.

(105)

Kooskõlas liikmesriikide ja komisjoni 28. septembri 2011. aasta ühise poliitilise deklaratsiooniga selgitavate dokumentide kohta kohustuvad liikmesriigid põhjendatud juhtudel lisama ülevõtmismeetmeid käsitlevale teatele ühe või mitu dokumenti, milles selgitatakse seost direktiivi osade ja ülevõtvate siseriiklike õigusaktide vastavate osade vahel. Käesoleva direktiivi puhul leiab seadusandja, et selliste dokumentide edastamine on põhjendatud.

(106)

Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2 ning ta esitas arvamuse 7. märtsil 2012 (18).

(107)

Käesolev direktiiv ei tohiks takistada liikmesriikidel näha kriminaalmenetlust käsitlevates liikmesriigi õigusnormides ette andmesubjekti õigus saada kriminaalmenetluse käigus teavet, tutvuda isikuandmetega ja isikuandmeid parandada, kustutada ja nende töötlemist piirata, ega nende õiguste piiranguid,

a)

kaitsevad füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele, ning

b)

tagavad, et pädevate asutuste vahelist isikuandmete vahetamist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel, kui selline isikuandmete vahetamine on nõutav liidu või liikmesriigi õigusega.

a)

isikuandmeid töödeldakse sellise tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse;

b)

isikuandmeid töötlevad liidu institutsioonid, organid ja asutused.

a)

avaliku sektori asutus, kes on pädev süütegusid tõkestama, uurima, avastama või nende eest vastutusele võtma või kriminaalkaristusi täitmisele pöörama, sealhulgas kaitsma avalikku julgeolekut ähvardavate ohtude eest ja neid ohte ennetama, või

b)

muu asutus või üksus, kes teostab liikmesriigi õiguse kohaselt avalikku võimu süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil;

a)

isikuandmeid töödeldakse seaduslikult ja õiglaselt;

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda viisil, mis on nende eesmärkidega vastuolus;

c)

isikuandmed on piisavad ja asjakohased ega ole liiased nende töötlemise eesmärkide suhtes;

d)

isikuandmed on õiged ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed tagamaks, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutatakse või parandatakse viivitamata;

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse;

f)

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kadumise, hävimise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid.

a)

vastutav töötleja on volitatud töötlema selliseid isikuandmeid sellisel eesmärgil kooskõlas liidu või liikmesriigi õigusega ning

b)

isikuandmete töötlemine on vajalik ja proportsionaalne kõnealuse muu eesmärgiga, nagu on ette nähtud liidu või liikmesriigi õiguses.

a)

isikud, kelle puhul on tõsine alus arvata, et nad on toime pannud või panevad varsti toime süüteo;

b)

isikud, kes on süüteos süüdi mõistetud;

c)

süüteoohvrid ja isikud, kelle puhul teatavad asjaolud annavad alust arvata, et nad võivad olla süüteo ohvrid, ning

d)

süüteoga seotud muud isikud, näiteks isikud, keda süüteo uurimise või sellele järgneva kriminaalmenetluse käigus võidakse kutsuda tunnistusi andma, isikud, kellelt võib saada teavet süüteo kohta, ning punktides a ja b osutatud isikute kontaktisikud ja kaasosalised.

a)

see on lubatud liidu või liikmesriigi õigusega;

b)

et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve või

c)

selliselt töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud.

a)

küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või

b)

keelduda taotletud meetmete võtmisest.

a)

vastutava töötleja nimi ja kontaktandmed;

b)

kui kohaldatav, siis andmekaitseametniku kontaktandmed;

c)

isikuandmete töötlemise kavandatud eesmärk;

d)

õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

e)

õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmetega tutvumist ning nende parandamist või kustutamist ja isikuandmete töötlemise piiramist.

a)

isikuandmete töötlemise õiguslik alus;

b)

isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid;