52017PC0008

•Suhteellisuusperiaate

Suhteellisuusperiaatteen mukaisesti on tarpeen ja aiheellista vahvistaa säännöt henkilötietojen käsittelystä unionin toimielimissä, elimissä ja laitoksissa perustavoitteiden saavuttamiseksi eli varmistaa luonnollisten henkilöiden yhdenmukainen suojelu henkilötietojen käsittelyssä ja henkilötietojen vapaa liikkuvuus unionissa. Tässä asetuksessa ei Euroopan unionista tehdyn sopimuksen 5 artiklan 4 kohdan mukaisesti ylitetä sitä, mikä on asetettujen tavoitteiden saavuttamiseksi tarpeen.

•Toimintatavan valinta

Asetus on asianmukainen oikeudellinen väline, jolla määritetään yksilöiden suojelemista unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaata liikkuvuutta koskevat puitteet. Siinä säädetään luonnollisten henkilöiden täytäntöönpanokelpoisista oikeuksista ja määritetään rekisterinpitäjien tietojenkäsittelyvelvoitteet unionin toimielimissä, elimissä ja laitoksissa. Siinä säädetään myös riippumattomasta valvontaelimestä, Euroopan tietosuojavaltuutetusta, jonka tehtävänä on valvoa henkilötietojen käsittelyä unionin toimielimissä, elimissä ja laitoksissa.

3.JÄLKIARVIOINTIEN, SIDOSRYHMIEN KUULEMISTEN JA VAIKUTUSTENARVIOINTIEN TULOKSET

Komissio toteutti vuosina 2010 ja 2011 sidosryhmien kuulemiset ja vaikutustenarvioinnin osana tietosuojan uudistamista koskevan lainsäädäntöpaketin valmisteluja, joiden yhteydessä luonnosteltiin asetukseen (EY) N:o 45/2001 ehdotettuja muutoksia. Tässä yhteydessä komissio suoritti myös komission tietosuojakoordinaattoreita koskeneen kyselyn 5 .

Euroopan tietosuojavaltuutetulta, muilta unionin toimielimiltä, elimiltä ja laitoksilta, komission muilta pääosastoilta ja ulkopuoliselta toimeksisaajalta kerättiin tietoja asetuksen (EY) N:o 45/2001 käytännön soveltamisesta unionin toimielimissä, elimissä ja laitoksissa. Kyselylomake lähetettiin tietosuojavastaavien verkostolle 6 .

Tietosuojavastaavat useista unionin toimielimistä, elimistä ja laitoksista pitivät asetuksen (EY) N:o 45/2001 uudistamista koskevia työpajoja 9 päivänä heinäkuuta 2015, 22 päivänä lokakuuta 2015, 19 päivänä tammikuuta 2016 ja 15 päivänä maaliskuuta 2016.

Komissio päätti vuonna 2013 toteuttaa asetuksen (EY) N:o 45/2001 soveltamista koskevan arviointitutkimuksen, joka tilattiin ulkopuoliselta toimeksisaajalta. Arviointitutkimuksen lopulliset asiakirjat (loppuraportti, viisi tapaustutkimusta ja artiklakohtainen erittely) toimitettiin komissiolle 8 päivänä kesäkuuta 2015 7 .

Arviointi osoitti, että tietosuojavastaaviin ja Euroopan tietosuojavaltuutettuun perustuva hallinnointijärjestelmä on tehokas. Siinä todettiin, että toimivallan jakaminen Euroopan tietosuojavaltuutetun ja tietosuojavastaavien välillä on selkeä ja tasapainoinen, ja että niillä on asianmukaiset valtuudet. Ongelmia saattaa kuitenkin syntyä siksi, että tietosuojavastaavien toimivalta ei ole riittävä, mikä johtuu niiden johtoportaalta saaman tuen riittämättömyydestä.

Arviointitutkimuksessa todettiin, että asetuksen (EY) N:o 45/2001 täytäntöönpanoa voitaisiin tehostaa Euroopan tietosuojavaltuutetun määräämien seuraamusten avulla. Sen valvontavaltuuksien lisääntynyt käyttö voisi johtaa tietosuojasääntöjen täytäntöönpanon tehostumiseen. Lisäksi tutkimuksessa katsottiin, että rekisterinpitäjien olisi omaksuttava riskinhallintaan perustuva lähestymistapa ja toteutettava riskienarviointeja ennen tietojen käsittelyä, jotta ne voisivat noudattaa tietojen säilyttämistä ja turvallisuutta koskevia vaatimuksia paremmin.

Tutkimus osoitti myös, että nykyiset asetuksen (EY) N:o 45/2001 IV luvussa olevat televiestintäalaa koskevat säännöt ovat vanhentuneita ja että kyseinen luku olisi yhdenmukaistettava sähköisen viestinnän tietosuojadirektiivin kanssa. Arviointitutkimuksen mukaan on myös tarpeen selkeyttää joitakin asetuksen (EY) N:o 45/2001 keskeisiä määritelmiä. Näitä ovat muun muassa unionin toimielimissä, elimissä ja laitoksissa toimivien rekisterinpitäjien yksilöinti, vastaanottajien määritelmä ja luottamuksellisuutta koskevan velvoitteen laajentaminen ulkopuolisiin käsittelijöihin.

Arviointitutkimuksessa korostettiin myös tarvetta yksinkertaistaa ilmoitusjärjestelmää ja ennakkotarkastuksia tehokkuuden parantamiseksi ja hallinnollisen rasituksen vähentämiseksi.

Arvioija suoritti online-kyselyn, joka oli suunnattu 64:lle unionin toimielimelle, elimelle ja laitokselle. Kyselyyn vastasi 422 rekisterinpitäjien vastaavaa virkamiestä, 73 tietosuojavastaavaa, 118 tietosuojakoordinaattoria ja 109 tietotekniikka-asiantuntijaa. Arvioija toteutti myös useita sidosryhmien haastatteluja. Arvioija ja komissio järjestivät 26 päivänä maaliskuuta 2015 päätösseminaarin, johon osallistui useita rekisterinpitäjiä, tietosuojavastaavia, tietosuojakoordinaattoreita ja tietotekniikka-asiantuntijoita sekä Euroopan tietosuojavaltuutetun edustajia.

•Asiantuntijatiedon keruu ja käyttö

Katso viittaus arviointikertomukseen edellisessä kohdassa.

•Vaikutustenarviointi

Nyt käsiteltävänä olevalla ehdotuksella on vaikutuksia pääasiassa unionin toimielimiin, elimiin ja laitoksiin. Tämän ovat vahvistaneet tiedot, jotka on kerätty Euroopan tietosuojavaltuutetulta, muilta unionin toimielimiltä, elimiltä ja laitoksilta, komission pääosastoilta ja ulkopuoliselta toimeksisaajalta. Lisäksi asetuksesta (EU) 2016/679, jonka kanssa nyt käsiteltävänä oleva asetus yhdenmukaistetaan, aiheutuvien uusien velvoitteiden vaikutusta on arvioitu valmistelun yhteydessä. Tämän vuoksi erityinen tätä asetusta koskeva vaikutustenarviointi on tarpeeton.

•Sääntelyn toimivuus ja yksinkertaistaminen

Ei sovelleta

•Perusoikeudet

Oikeus henkilötietojen suojaan on vahvistettu Euroopan unionin perusoikeuskirjan 8 artiklassa, SEUT-sopimuksen 16 artiklassa ja Euroopan ihmisoikeussopimuksen 8 artiklassa. Kuten Euroopan unionin tuomioistuin on korostanut 8 , oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa 9 . Tietosuoja liittyy läheisesti myös yksityis- ja perhe-elämän kunnioittamiseen, josta määrätään perusoikeuskirjan 7 artiklassa.

Nyt käsiteltävänä olevassa ehdotuksessa vahvistetaan säännöt yksilöiden suojelemisesta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta.

Muita perusoikeuskirjassa vahvistettuja perusoikeuksia, joihin ehdotus voisi mahdollisesti vaikuttaa, ovat seuraavat: sananvapaus (11 artikla); omistusoikeus ja varsinkin teollis- ja tekijänoikeudet (17 artiklan 2 kohta); esimerkiksi rotuun, etniseen alkuperään, geneettisiin ominaisuuksiin, uskontoon tai vakaumukseen, poliittisiin tai muihin mielipiteisiin, vammaisuuteen tai sukupuoliseen suuntautumiseen perustuvan syrjinnän kielto (21 artikla); lapsen oikeudet (24 artikla); oikeus korkeatasoiseen terveydenhoitoon (35 artikla); oikeus tutustua asiakirjoihin (42 artikla); oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen (47 artikla).

4.TALOUSARVIOVAIKUTUKSET

Ks. liitteenä oleva rahoitusselvitys.

5.LISÄTIEDOT

•Toteuttamissuunnitelmat, seuranta, arviointi ja raportointijärjestelyt

Ei sovelleta

•Selittävät asiakirjat (direktiivien osalta)

Ei sovelleta

I LUKU – YLEISET SÄÄNNÖKSET

Ehdotuksen 1 artiklassa määritetään asetuksen kohde, ja samoin kuin asetuksen (EY) N:o 45/2001 1 artiklassa, asetuksen molemmat tavoitteet: suojata tietosuojaa koskeva perusoikeus ja taata henkilötietojen vapaa liikkuvuus unionissa. Siinä säädetään myös Euroopan tietosuojavaltuutetun tärkeimmistä tehtävistä.

Ehdotuksen 2 artiklassa määritellään asetuksen soveltamisala: asetusta sovelletaan kaikkien unionin toimielinten ja elinten automaattisesti tai muuten suorittamaan henkilötietojen käsittelyyn silloin, kun käsittely suoritetaan unionin oikeuden soveltamisalaan kokonaan tai osittain kuuluvien toimien toteuttamiseksi. Tämän asetuksen aineellinen soveltamisala on teknologisesti neutraali. Henkilötietojen suoja koskee myös henkilötietojen automaattista käsittelyä sekä niiden manuaalista käsittelyä, jos henkilötiedot sisältyvät tai ne on tarkoitus sisällyttää rekisteriin.

Ehdotuksen 3 artiklassa esitetään asetuksessa käytettyjen käsitteiden määritelmät. Lukuun ottamatta määritelmiä käsitteille ’unionin toimielimet ja elimet’, ’rekisterinpitäjä’, ’käyttäjä’ ja ’luettelo’, joita käytetään nimenomaan tässä asetuksessa, asetuksessa käytetyt termit on määritelty asetuksessa (EU) 2016/679, asetuksessa (EU) 0000/00 [uusi sähköisen viestinnän tietosuojadirektiivi], direktiivissä 00/0000/EU [direktiivi Euroopan sähköisen viestinnän säännöstöstä] ja komission direktiivissä 2008/63/EY.

II LUKU – PERIAATTEET

Ehdotuksen 4 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista, jotka vastaavat asetuksen (EU) 2016/679 5 artiklassa vahvistettuja periaatteita. Asetukseen (EY) N:o 45/2001 verrattuna siihen on lisätty uusia periaatteita, jotka koskevat läpinäkyvyyttä sekä eheyttä ja luottamuksellisuutta.

Ehdotuksen 5 artikla perustuu asetuksen (EU) 2016/679 6 artiklaan, ja siinä vahvistetaan lainmukaisen käsittelyn perusteet, lukuun ottamatta rekisterinpitäjän oikeutetun edun kriteeriä, jota ei sovelleta julkiseen sektoriin, ja sen vuoksi sitä ei pitäisi soveltaa unionin toimielimiin ja elimiin. Ehdotuksen 5 artiklassa säilytetään jo asetuksen (EY) N:o 45/2001 5 artiklassa vahvistetut kriteerit.

Ehdotuksen 6 artiklassa täsmennetään edellytykset, jotka koskevat käsittelyä toista yhteensopivaa tarkoitusta varten asetuksen (EU) 2016/679 6 artiklan 4 kohdan mukaisesti. Asetuksen (EY) N:o 45/2001 6 artiklaan verrattuna tämä uusi säännös tarjoaa enemmän joustavuutta ja oikeusvarmuutta kun on kyse myöhemmästä käsittelystä yhteensopivaa tarkoitusta varten.

Ehdotuksen 7 artiklassa täsmennetään asetuksen (EU) 2016/679 7 artiklan mukaisesti edellytykset, joiden on täytyttävä, jotta suostumus muodostaisi pätevän oikeusperustan lainmukaiselle käsittelylle.

Ehdotuksen 8 artiklassa säädetään asetuksen (EU) 2016/679 8 artiklan mukaisesti lisäedellytykset lapsen henkilötietoja koskevan käsittelyn lainmukaisuudelle suoraan lapsille tarjottavien tietoyhteiskunnan palvelujen yhteydessä. Siinä asetetaan lapselle 13 vuoden alaikäraja, jotta tämän suostumus olisi pätevä.

Ehdotuksen 9 artiklassa vahvistetaan asetuksen (EY) N:o 45/2001 8 artiklan mukaisesti säännöt, jotka koskevat tietyn tasoista suojelua siirrettäessä henkilötietoja vastaanottajille, jotka eivät ole unionin toimielimiä ja elimiä ja jotka ovat sijoittautuneet unioniin ja joihin sovelletaan asetusta (EU) 2016/679 tai direktiiviä (EU) 2016/680. Siinä selvennetään, että silloin kun siirron käynnistää rekisterinpitäjä, sen olisi osoitettava siirron tarpeellisuus ja oikeasuhteisuus.

Ehdotuksen 10 artiklassa säädetään erityisiä tietoryhmiä koskevasta yleisestä käsittelykiellosta ja tätä pääsääntöä koskevista poikkeuksista asetuksen (EU) 2016/679 9 artiklan pohjalta ja kehittäen edelleen asetuksen (EY) N:o 45/2001 10 artiklaa.

Ehdotuksen 11 artiklassa vahvistetaan asetuksen (EU) 2016/679 10 artiklan ja asetuksen (EY) N:o 45/2001 10 artiklan 5 kohdan mukaisesti edellytykset sellaisten henkilötietojen käsittelylle, jotka liittyvät rikostuomioihin ja rikkomuksiin.

Ehdotuksen 12 artiklassa täsmennetään asetuksen (EU) 2016/679 11 artiklan mukaisesti rekisterinpitäjän ilmoitusvelvollisuudet rekisteröityä kohtaan säätämällä, että jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsittelemiensä henkilötietojen perusteella, rekisterinpitäjää ei saisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä on tarpeen vain, jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä. Rekisterinpitäjän ei pitäisi kuitenkaan kieltäytyä vastaanottamasta rekisteröidyn antamia lisätietoja tämän oikeuksien käyttämisen tukemiseksi.

Ehdotuksen 13 artiklassa esitetään asetuksen (EU) 2016/679 89 artiklan 1 kohdan perusteella säännöt suojatoimista, jotka koskevat yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaa käsittelyä.

III LUKU – REKISTERÖIDYN OIKEUDET

1 jakso – Läpinäkyvyys ja sitä koskevat yksityiskohtaiset säännöt

Ehdotuksen 14 artiklassa velvoitetaan asetuksen (EU) 2016/679 12 artiklan mukaisesti rekisterinpitäjät toimittamaan läpinäkyviä sekä helposti saatavia ja ymmärrettäviä tietoja ja vahvistamaan menettelyt ja mekanismit rekisteröidyn oikeuksien käyttämistä varten. Tämä tarkoittaa tarvittaessa muun muassa sähköisiä pyyntöjä, vaatimusta vastata rekisteröidyn pyyntöihin tietyssä määräajassa sekä kieltäytymisen perustelemista. Koska unionin toimielinten ja elinten ei odoteta missään tapauksessa perivän tietojen toimittamisesta aiheutuviin hallinnollisiin kustannuksiin liittyviä maksuja, tätä mahdollisuutta ei sisällytetty asetuksesta (EU) 2016/679.

2 jakso – Ilmoittaminen ja tiedonsaanti

Ehdotuksen 15 artiklassa säädetään rekisterinpitäjän ilmoitusvelvollisuudesta rekisteröityä kohtaan, kun henkilötietoja kerätään rekisteröidyltä. Artikla perustuu asetuksen (EU) 2016/679 13 artiklaan, ja siinä kehitetään edelleen asetuksen (EY) N:o 45/2001 11 artiklaa sekä säädetään rekisteröidylle annettavista tietoista, kuten tietojen säilytysajasta, oikeudesta tehdä valitus sekä kansainvälisiin tiedonsiirtoihin liittyvistä oikeuksista.

Lisäksi 16 artiklassa täsmennetään asetuksen (EU) 2016/679 14 artiklan pohjalta ja kehittäen edelleen asetuksen (EY) N:o 45/2001 12 artiklaa rekisterinpitäjän velvollisuutta ilmoittaa rekisteröidylle silloin, kun henkilötietoja ei ole saatu rekisteröidyltä, ja mainita, mistä lähteestä tiedot on saatu. Ehdotuksessa säilytetään myös asetuksen (EU) 2016/679 mukaiset mahdolliset poikkeukset, esimerkiksi se, että tällaista velvollisuutta ei ole, jos rekisteröidyllä on jo nämä tiedot, jos tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi rekisterinpitäjältä kohtuutonta vaivaa, jos henkilötiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen perustuva salassapitovelvollisuus, tai jos kyseisestä rekisteröinnistä tai tietojen luovutuksesta on nimenomaisesti lailla säädetty. Poikkeusta voitaisiin soveltaa esimerkiksi sosiaaliturva-alan tai terveydenhuoltoalan toimivaltaisten viranomaisten menettelyissä.

Ehdotuksen 17 artiklassa säädetään asetuksen (EU) 2016/679 15 artiklan mukaisesti ja kehittäen edelleen asetuksen (EY) N:o 45/2001 13 artiklaa rekisteröidyn oikeudesta tutustua omiin henkilötietoihinsa, minkä lisäksi siihen on lisätty uusia elementtejä, kuten velvollisuus ilmoittaa rekisteröidylle tietojen säilytysajasta sekä oikeudesta oikaista ja poistaa tietoja ja valitusoikeudesta.

3 jakso – Tietojen oikaiseminen ja poistaminen

Ehdotuksen 18 artiklassa säädetään asetuksen (EU) 2016/679 16 artiklan pohjalta ja kehittäen edelleen asetuksen (EY) N:o 45/2001 14 artiklaa rekisteröidyn oikeudesta tietojen oikaisuun.

Ehdotuksen 19 artiklassa vahvistetaan asetuksen (EU) 2016/679 17 artiklan ja asetuksen (EY) N:o 45/2001 16 artiklan mukaisesti rekisteröidyn oikeudesta tulla unohdetuksi ja saada tiedot poistetuksi. Siinä säädetään edellytykset oikeudelle tulla unohdetuksi. Tähän sisältyy muun muassa tiedot julkistaneen rekisterinpitäjän velvollisuus ilmoittaa kolmansille osapuolille rekisteröidyn pyynnöstä poistaa kyseisiin henkilötietoihin liittyvät linkit tai tietojen kopiot tai jäljennökset.

Ehdotuksen 20 artiklassa säädetään oikeudesta rajoittaa tietojenkäsittelyä tietyissä tapauksissa. Siinä vältetään käyttämästä asetuksen (EY) N:o 45/2001 moniselitteistä ilmaisua ”suojata tiedot tietokannassa” ja varmistetaan yhdenmukaisuus asetuksen (EU) 2016/679 18 artiklassa käytetyn uuden terminologian kanssa.

Ehdotuksen 21 artiklassa säädetään asetuksen (EU) 2016/679 19 artiklan mukaisesti ja kehittäen edelleen asetuksen (EY) N:o 45/2001 17 artiklaa rekisterinpitäjän velvollisuudesta ilmoittaa niille vastaanottajille, joille henkilötietoja on luovutettu, henkilötietojen oikaisemisesta tai poistamisesta tai rajoittamisesta, paitsi jos se osoittautuu mahdottomaksi tai aiheuttaisi kohtuutonta vaivaa. Rekisterinpitäjän on myös ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.

Ehdotuksen 22 artiklassa otetaan asetuksen (EU) 2016/679 20 artiklan mukaisesti käyttöön rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen, eli oikeus saada ne häntä itseään koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, tai saada tällaiset henkilötiedot siirrettyä suoraan toiselle rekisterinpitäjälle, jos se on teknisesti mahdollista. Siirron edellytykseksi ja jotta voidaan vahvistaa yksilön oikeutta tutustua omiin henkilötietoihinsa, siinä säädetään myös oikeudesta saada kyseiset tiedot rekisterinpitäjältä jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Tätä oikeutta sovelletaan vain silloin, kun tietojenkäsittely perustuu rekisteröidyn suostumukseen tai hänen tekemäänsä sopimukseen.

4 jakso – Oikeus vastustaa henkilötietojen käsittelyä ja automaattisesti tehtävät yksittäispäätökset

Ehdotuksen 23 artiklassa säädetään asetuksen (EU) 2016/679 21 artiklan pohjalta ja kehittäen edelleen asetuksen (EY) N:o 45/2001 18 artiklaa rekisteröidyn oikeudesta vastustaa tietojenkäsittelyä.

Ehdotuksen 24 artiklassa säädetään asetuksen (EU) 2016/679 22 artiklan pohjalta ja kehittäen edelleen asetuksen (EY) N:o 45/2001 19 artiklaa rekisteröidyn oikeudesta olla joutumatta sellaisen toimenpiteen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, mukaan lukien profilointi.

5 jakso – Rajoitukset

Ehdotuksen 25 artiklassa sallitaan rajoitukset 14–22 sekä 34 ja 38 artiklassa säädettyihin rekisteröidyn oikeuksiin ja 4 artiklassa säädettyihin periaatteisiin (siltä osin kuin sen säännökset vastaavat 14–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia). Tällaisista rajoituksista olisi säädettävä perussopimusten perusteella hyväksytyissä säädöksissä tai unionin toimielinten ja elinten sisäisissä säännöissä. Jos tällaisen rajoituksen mahdollisuudesta ei ole säädetty perussopimusten perusteella hyväksytyissä säädöksissä tai unionin toimielinten ja elinten sisäisissä säännöissä, kyseisissä säännöissä voidaan asettaa tietyn käsittelytoimen osalta tilapäinen rajoitus, jos se noudattaa keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide yhden tai useamman sellaisen tavoitteen turvaamiseksi, jotka mahdollistavat rekisteröidyn oikeuksia koskevat rajoitukset. Tämä lähestymistapa on yhdenmukainen asetuksen (EU) 2016/679 23 artiklan kanssa. Poiketen kuitenkin siitä, mitä asetuksen (EU) 2016/679 23 artiklassa säädetään, ja asetuksen (EY) N:o 45/2001 20 artiklan mukaisesti tässä säännöksessä ei säädetä mahdollisuudesta rajoittaa oikeutta vastustaa henkilötietojen käsittelyä ja oikeutta olla joutumatta pelkästään automaattiseen käsittelyyn perustuvien päätösten kohteeksi. Rajoituksia koskevat vaatimukset ovat yhdenmukaisia Euroopan unionin tuomioistuimen perusoikeuskirjaa koskevan tulkinnan ja Euroopan ihmisoikeustuomioistuimen Euroopan ihmisoikeussopimusta koskevan tulkinnan kanssa.

IV LUKU – REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ

1 jakso – Yleiset velvollisuudet

Ehdotuksen 26 artikla perustuu asetuksen (EU) 2016/679 24 artiklaan, ja siinä otetaan käyttöön tilivelvollisuusperiaate kuvaamalla rekisterinpitäjän velvollisuutta noudattaa tätä asetusta ja osoittaa se muun muassa hyväksymällä asianmukaisia teknisiä ja organisatorisia toimenpiteitä ja tarvittaessa sisäisiä menettelyjä ja mekanismeja noudattamisen varmistamiseksi. Asetuksen (EU) 2016/679 24 artiklan 3 kohtaa ei pidetty tässä säännöksessä, sillä unionin toimielinten ja elinten ei pitäisi noudattaa käytännesääntöjä tai sertifiointimekanismeja.

Ehdotuksen 27 artiklassa säädetään asetuksen (EU) 2016/679 25 artiklan mukaisesti rekisterinpitäjän velvollisuudet, jotka perustuvat sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin.

Yhteisrekisterinpitäjiä koskeva 28 artikla perustuu asetuksen (EU) 2016/679 26 artiklaan, ja siinä täsmennetään yhteisrekisterinpitäjien – jotka voivat olla joko unionin toimielimiä tai elimiä taikka muiden rekisterinpitäjiä – vastuualueet siltä osin kuin on kyse niiden keskinäisistä suhteista ja suhteista rekisteröityyn. Tämä säännös koskee tilannetta, jossa kaikki yhteisrekisterinpitäjät kuuluvat saman oikeudellisen järjestelmän (tämä asetus) piiriin, ja tilannetta, jossa osa niistä kuuluu tämän asetuksen soveltamisalaan ja osa toisen säädöksen soveltamisalaan (asetus (EU) 2016/679, direktiivi (EU) 2016/680, direktiivi (EU) 2016/681 ja muut erityiset unionin toimielimiä tai elimiä koskevat tietosuojajärjestelmät).

Ehdotuksen 29 artikla perustuu asetuksen (EU) 2016/679 28 artiklaan ja siinä kehitetään edelleen asetuksen (EY) N:o 45/2001 23 artiklaa, jotta voidaan selventää henkilötietojen käsittelijöiden asemaa ja velvollisuuksia, muun muassa säätämällä, että jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, henkilötietojen käsittelijää on pidettävä kyseisen käsittelyn rekisterinpitäjänä.

Ehdotuksen 30 artikla koskee tietojenkäsittelyä rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa. Säännös perustuu asetuksen (EU) 2016/679 29 artiklaan, jossa kielletään henkilötietojen käsittelijää tai rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimivaa henkilöä, jolla on pääsy henkilötietoihin, käsittelemästä kyseisiä tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti, jollei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.

Ehdotuksen 31 artikla perustuu asetuksen (EU) 2016/679 30 artiklaan, ja siinä otetaan käyttöön rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskeva velvollisuus säilyttää niiden vastuulla toteutettavia käsittelytoimia koskevat asiakirjat, kun asetuksen (EY) N:o 45/2001 25 artiklassa säädetään velvollisuudesta ilmoittaa tietojenkäsittelystä etukäteen Euroopan tietosuojavaltuutetulle ja tietosuojavastaavan rekisteriin. Toisin kuin asetuksessa (EU) 2016/679 tässä säännöksessä ei viitata edustajiin, sillä unionin toimielimillä ei ole edustajia, vaan niillä on aina tietosuojavastaavia. Viittauksia asetuksen (EU) 2016/679 mukaisten, erityistilanteita koskevien poikkeusten perusteella tehtäviin siirtoihin ei ole säilytetty, koska nyt käsiteltävänä oleva asetus ei kata kyseisenlaisia siirtoja. Velvollisuus ylläpitää selostetta henkilötietojen käsittelytoimista voidaan keskittää unionin toimielimen tai elimen tasolla. Tällaisessa tapauksessa unionin toimielimillä ja elimillä on mahdollisuus pitää käsittelytoimia koskevat selosteet julkisesti saatavilla olevana rekisterinä.

Ehdotuksen 32 artiklassa täsmennetään asetuksen (EU) 2016/679 31 artiklan perusteella unionin toimielinten ja elinten velvollisuudet tehdä yhteistyötä Euroopan tietosuojavaltuutetun kanssa.

2 jakso – Henkilötietojen turvallisuus ja sähköisen viestinnän luottamuksellisuus

Ehdotuksen 33 artiklassa velvoitetaan asetuksen (EU) 2016/679 32 artiklan mukaisesti ja kehittäen edelleen asetuksen (EY) N:o 45/2001 22 artiklaa rekisterinpitäjä toteuttamaan tietojenkäsittelyn turvallisuuden varmistamiseksi tarvittavat toimenpiteet. Ehdotuksessa laajennetaan velvollisuus koskemaan kaikkia henkilötietojen käsittelijöitä, riippumatta siitä, millainen sopimus niillä on rekisterinpitäjän kanssa.

Ehdotuksen 34 artikla perustuu asetuksen (EY) N:o 45/2001 36 artiklaan, ja sillä varmistetaan sähköisen viestinnän luottamuksellisuus unionin toimielimissä ja laitoksissa.

Ehdotuksen 35 artikla perustuu unionin toimielinten ja elinten nykyiseen käytäntöön, ja siinä suojellaan unionin toimielinten ja elinten yleisesti saatavilla olevia verkkosivustoja ja mobiilisovelluksia käyttävien loppukäyttäjien päätelaitteisiin liittyvät tiedot asetuksen (EU) XXXX/XX [uusi sähköisen viestinnän tietosuoja-asetus] ja erityisesti sen 8 artiklan mukaisesti.

Ehdotuksen 36 artikla perustuu asetuksen (EY) N:o 45/2001 38 artiklaan, ja sillä suojellaan unionin toimielinten ja elinten julkisissa ja yksityisissä luetteloissa olevat henkilötiedot.

Ehdotuksen 37 ja 38 artiklassa otetaan asetuksen (EU) 2016/679 33 ja 34 artiklan mukaisesti käyttöön velvollisuus ilmoittaa henkilötietoihin kohdistuvista tietoturvaloukkauksista.

3 jakso – Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen

Ehdotuksen 39 artikla perustuu asetuksen (EU) 2016/679 35 artiklaan, ja siinä säädetään rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskevasta velvollisuudesta laatia tietosuojaa koskeva vaikutustenarviointi ennen sellaisia käsittelytoimia, jotka todennäköisesti aiheuttavat suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Tätä velvoitetta sovelletaan erityisesti, kun on kyse luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällisestä ja kattavasta arvioinnista, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin, tai yleisölle avoimen alueen laajamittaisesta, järjestelmällisestä valvonnasta.

Ehdotuksen 40 artikla perustuu asetuksen (EU) 2016/679 36 artiklaan, ja se koskee tapauksia, joissa Euroopan tietosuojavaltuutetun lupa ja tämän kuuleminen on pakollista ennen käsittelyä. Ehdotuksen 40 artiklan ensimmäisessä kohdassa toistetaan kuitenkin asetuksen (EU) 2016/679 johdanto-osan 94 kappale, ja sen tarkoituksena on selventää kuulemisvelvollisuuden laajuutta.

4 jakso – Ilmoittaminen ja lainsäädäntöä koskeva kuuleminen

Ehdotuksen 41 artiklassa säädetään unionin toimielinten ja elinten velvollisuudesta ilmoittaa Euroopan tietosuojavaltuutetulle suunnittelemistaan hallinnollisista toimenpiteistä ja sisäisistä säännöistä, jotka koskevat henkilötietojen käsittelyä.

Ehdotuksen 42 artiklassa säädetään komission velvollisuudesta kuulla Euroopan tietosuojavaltuutettua sen jälkeen, kun ehdotus lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi ja SEUT-sopimuksen 218 artiklan mukaisiksi suosituksiksi tai ehdotuksiksi neuvostolle on hyväksytty, ja silloin kun komissio laatii delegoituja säädöksiä tai täytäntöönpanosäädöksiä, joilla on vaikutusta yksilöiden oikeuksien ja vapauksien suojeluun henkilötietojen käsittelyssä. Jos kyseiset säädökset ovat erityisen tärkeitä yksilöiden oikeuksien ja vapauksien suojelemiseksi henkilötietojen käsittelyn osalta, komissio voi myös kuulla Euroopan tietosuojaneuvostoa. Tällaisissa tapauksissa molempien yksiköiden olisi koordinoitava työskentelyään yhteisen lausunnon antamiseksi. Ehdotuksen mukaan lausunto olisi edellä mainituissa tapauksissa annettava kahdeksan viikon määräajan kulussa, lukuun ottamatta mahdollisia poikkeuksia kiireellisissä tapauksissa ja silloin kun se on tarkoituksenmukaista, esimerkiksi silloin, kun komissio valmistelee delegoituja säädöksiä ja täytäntöönpanosäädöksiä.

5 jakso – Velvollisuus vastata väitteisiin

Ehdotuksen 43 artiklassa säädetään rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudesta vastata väitteisiin sen jälkeen, kun Euroopan tietosuojavaltuutettu on päättänyt asian antamisesta näiden käsiteltäväksi.

6 jakso – Tietosuojavastaava

Ehdotuksen 44 artikla perustuu asetuksen (EU) 2016/679 37 artiklan 1 kohdan a alakohtaan ja asetuksen (EY) N:o 45/2001 24 artiklaan, ja siinä säädetään unionin toimielinten ja elinten pakollisesta tietosuojavastaavasta.

Ehdotuksen 45 artiklassa, joka perustuu asetuksen (EU) 2016/679 38 artiklaan ja asetuksen (EY) N:o 45/2001 24 artiklaan, säädetään tietosuojavastaavan asemasta.

Ehdotuksen 46 artikla perustuu asetuksen (EU) 2016/679 39 artiklaan sekä asetuksen (EY) N:o 45/2001 24 artiklaan ja sen liitteen toiseen ja kolmanteen kohtaan. Siinä säädetään tietosuojavastaavan keskeisistä tehtävistä.

V LUKU – HENKILÖTIETOJEN SIIRTO KOLMANSIIN MAIHIN TAI KANSAINVÄLISILLE JÄRJESTÖILLE

Ehdotuksen 47 artikla perustuu asetuksen (EY) N:o 45/2001 9 artiklaan ja siinä esitetään asetuksen (EU) 2016/679 44 artiklan mukaisesti yleinen periaate, jonka mukaan tämän asetuksen muita säännöksiä ja V luvussa vahvistettuja edellytyksiä on noudatettava aina kun henkilötietoja siirretään kolmansiin maihin tai kansainvälisille järjestöille, mukaan lukien henkilötietojen siirto edelleen kolmannesta maasta tai kansainvälisestä järjestöstä johonkin muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle.

Ehdotuksen 48 artiklan mukaan henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaisesti, että tietosuojan riittävä taso on varmistettu kolmannessa maassa tai kolmannen maan alueella tai yhdellä tai useammalla tietyllä toimialalla taikka kyseisessä kansainvälisessä järjestössä ja henkilötiedot siirretään ainoastaan rekisterinpitäjän toimivaltaan kuuluvien tehtävien suorittamiseksi. Tämän artiklan 2 ja 3 kohdan sisältö on sama kuin asetuksen (EY) N:o 45/2001 9 artiklan, sillä niiden avulla voidaan seurata tietosuojan tasoa kolmansissa maissa ja kansainvälisissä järjestöissä.

Ehdotuksen 49 artikla perustuu asetuksen (EU) 2016/679 46 artiklaan, ja siinä edellytetään, että kun tietoja siirretään kolmansiin maihin, joiden osalta komissio ei ole tehnyt tietosuojan tason riittävyyttä koskevaa päätöstä, on annettava asianmukaiset takeet, joita voivat olla erityisesti tietosuojaa koskevat vakiolausekkeet tai sopimuslausekkeet. Muut henkilötietojen käsittelijät kuin unionin toimielimet ja elimet voisivat käyttää yrityksiä sitovia sääntöjä, käytännesääntöjä ja sertifiointimekanismeja asetuksen (EU) 2016/679 mukaisesti. Tämän artiklan neljäs kohta, joka koskee unionin toimielinten ja elinten velvollisuutta ilmoittaa Euroopan tietosuojavaltuutetulle tapauksista, joissa ne ovat soveltaneet tätä artiklaa, vastaa asetuksen (EY) N:o 45/2001 9 artiklan 8 kohtaa, ja se säilytetään erityisluonteensa vuoksi. Viides kohta perustuu asetuksen (EU) 2016/679 46 artiklan 5 kohtaan, jonka mukaan voimassa olevat hyväksynnät pysyvät voimassa.

Ehdotuksen 50 artiklassa täsmennetään asetuksen (EU) 2016/679 48 artiklan mukaisesti, että kolmansien maiden tuomioistuinten tai hallintoviranomaisten päätökset, joissa määrätään henkilötietojen siirtämisestä tai luovuttamisesta, voidaan tunnustaa tai saattaa jollakin tavoin täytäntöönpanokelpoiseksi vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen kuten keskinäiseen oikeusapusopimukseen, sanotun kuitenkaan rajoittamatta tämän luvun mukaisten muiden siirtoa koskevien perusteiden soveltamista.

Ehdotuksen 51 artikla perustuu asetuksen (EU) 2016/679 49 artiklaan, ja siinä täsmennetään ja selkeytetään tiedonsiirtoja koskevia poikkeuksia. Tämä koskee erityisesti tiedonsiirtoja, jotka ovat tarpeen tärkeiden yleistä etua koskevien syiden vuoksi, esimerkiksi kun on kyse kansainvälisistä tiedonsiirroista, joissa osallisina ovat kilpailuviranomaiset tai vero- tai tullihallinnot tai jotka tehdään sosiaaliturva-alan tai kalatalouden hallinnoinnista vastaavien toimivaltaisten viranomaisten välillä. Viides kohta, joka koskee velvollisuutta ilmoittaa Euroopan tietosuojavaltuutetulle tapauksista, joissa poikkeuksia on sovellettu tietoja siirrettäessä, vastaa asetuksen (EY) N:o 45/2001 9 artiklan 8 kohtaa.

Ehdotuksen 52 artikla perustuu asetuksen (EU) 2016/679 50 artiklaan. Siinä säädetään nimenomaisesti Euroopan tietosuojavaltuutetun (yhteistyössä komission ja Euroopan tietosuojaneuvoston kanssa) ja kolmansien maiden valvontaviranomaisten välisistä kansainvälisistä yhteistyömekanismeista henkilötietojen suojaamiseksi.

VI LUKU – EUROOPAN TIETOSUOJAVALTUUTETTU

Ehdotuksen 53 artikla, joka perustuu asetuksen (EY) N:o 45/2001 41 artiklaan, koskee tietosuojavaltuutetun perustamista.

Ehdotuksen 54 artikla perustuu asetuksen (EY) N:o 45/2001 42 artiklaan ja päätöksen 1247/2002/EY 3 artiklaan. Siinä vahvistetaan säännöt, jotka koskevat Euroopan tietosuojavaltuutetun nimittämistä. Tämä tehtävä kuuluu Euroopan parlamentille ja neuvostolle. Siinä säädetään myös tietosuojavaltuutetun toimikauden kestosta, joka on viisi vuotta.

Ehdotuksen 55 artikla perustuu asetuksen (EY) N:o 45/2001 43 artiklaan ja päätöksen 1247/2002/EY 1 artiklaan. Siinä vahvistetaan ohjesäännöt ja yleiset säännöt, jotka koskevat Euroopan tietosuojavaltuutetun ja tämän henkilöstön tehtävien hoitamista sekä taloudellisia resursseja.

Ehdotuksen 56 artikla perustuu asetuksen (EU) 2016/679 52 artiklaan ja asetuksen (EY) N:o 45/2001 44 artiklaan. Siinä selvennetään Euroopan tietosuojavaltuutetun riippumattomuuden edellytyksiä, ottaen huomioon Euroopan unionin tuomioistuimen oikeuskäytäntö.

Ehdotuksen 57 artiklassa, joka perustuu asetuksen (EY) N:o 45/2001 45 artiklaan, säädetään Euroopan tietosuojavaltuutetun salassapitovelvollisuudesta toimikauden aikana, kun on kyse luottamuksellisista tiedoista, jotka hän on saanut tietoonsa tehtäviään suorittaessaan.

Ehdotuksen 58 artikla perustuu asetuksen (EU) 2016/679 57 artiklaan ja asetuksen (EY) N:o 45/2001 46 artiklaan, ja siinä säädetään Euroopan tietosuojavaltuutetun tehtävistä, joita ovat muun muassa valitusten käsittely ja tutkiminen sekä tietosuojaan liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista tiedottaminen yleisölle.

Ehdotuksen 59 artiklassa, joka perustuu asetuksen (EU) 2016/679 58 artiklaan ja asetuksen (EY) N:o 45/2001 47 artiklaan, säädetään Euroopan tietosuojavaltuutetun valtuuksista.

Ehdotuksen 60 artiklassa, joka perustuu asetuksen (EU) 2016/679 59 artiklaan ja asetuksen (EY) N:o 45/2001 48 artiklaan, säädetään Euroopan tietosuojavaltuutetun velvollisuudesta laatia vuosittain toimintakertomus.

VII LUKU – YHTEISTYÖ JA YHDENMUKAISUUS

Ehdotuksen 61 artiklassa, joka perustuu asetuksen (EU) 2016/679 61 artiklaan ja asetuksen (EY) N:o 45/2001 46 artiklan f kohtaan, esitetään nimenomaiset säännöt Euroopan tietosuojavaltuutetun yhteistyöstä kansallisten valvontaviranomaisten kanssa.

Asetuksen 62 artiklassa säädetään Euroopan tietosuojavaltuutetun velvollisuuksista silloin kun muissa unionin säädöksissä viitataan tähän artiklaan osana koordinoitua valvontaa yhdessä kansallisten valvontaviranomaisten kanssa. Sillä pyritään panemaan täytäntöön yhtenäinen koordinoidun valvonnan malli. Tätä mallia voitaisiin käyttää sellaisten laajojen tietojärjestelmien koordinoituun valvontaan, kuten Eurodac, Schengenin tietojärjestelmä (SIS II), viisumitietojärjestelmä, tullitietojärjestelmä tai sisämarkkinoiden tietojenvaihtojärjestelmä, mutta myös joidenkin sellaisten unionin virastojen, kuten Europolin, valvontaan, joissa on käytössä Euroopan tietosuojavaltuutetun ja kansallisten viranomaisten välistä yhteistyötä koskeva erityinen malli. Euroopan tietosuojaneuvoston olisi toimittava keskitettynä foorumina, jonka avulla varmistetaan koordinoitu valvonta kaikilla aloilla.

VIII LUKU – OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET

Ehdotuksen 63 artiklassa, joka perustuu asetuksen (EU) 2016/679 77 artiklaan ja asetuksen (EY) N:o 45/2001 32 artiklaan, säädetään jokaisen rekisteröidyn oikeudesta tehdä valitus Euroopan tietosuojavaltuutetulle. Siinä säädetään myös Euroopan tietosuojavaltuutetun velvollisuudesta käsitellä valitus ja ilmoittaa rekisteröidylle valituksen etenemisestä ja valitusta koskevasta ratkaisusta kolmen kuukauden kuluessa, minkä jälkeen on katsottava, että valitus on hylätty.

Ehdotuksen 64 artiklassa säilytetään asetuksen (EY) N:o 45/2001 32 artiklan 1 kohta, jossa säädetään unionin tuomioistuimen toimivallasta ratkaista kaikki riidat, jotka koskevat tämän asetuksen säännöksiä, mukaan lukien vahingonkorvausvaatimukset.

Ehdotuksen 65 artiklassa säädetään oikeudesta korvaukseen sekä aineellisesta että aineettomasta vahingosta ottaen huomioon perussopimuksissa määrätyt edellytykset, mukaan lukien vastuuta koskevat edellytykset.

Ehdotuksen 66 artikla perustuu asetuksen (EU) 2016/679 83 artiklaan, ja siinä säädetään Euroopan tietosuojavaltuutetun valtuuksista määrätä hallinnollisia sakkoja unionin toimielimille ja elimille viimesijaisena seuraamuksena ja ainoastaan, jos unionin toimielimet tai elimet eivät ole noudattaneet 59 artiklan 2 kohdan a–h ja j alakohdan mukaista Euroopan tietosuojavaltuutetun määräystä. Artiklassa määritetään myös perusteet, joiden nojalla päätetään hallinnollisen sakon määrästä kussakin yksittäisessä tapauksessa, kun taas vuotuiset ylärajat ovat saaneet vaikutteita joissakin jäsenvaltioissa sovellettavien sakkojen määristä.

Ehdotuksen 67 artiklassa annetaan asetuksen (EU) 2016/679 80 artiklan 1 kohdan mukaisesti tietyille elimille, järjestöille tai yhdistyksille mahdollisuus tehdä valitus rekisteröidyn puolesta.

Ehdotuksen 68 artiklassa vahvistetaan asetuksen (EY) N:o 45/2001 33 artiklan mukaisesti erityiset säännöt, joilla pyritään suojelemaan unionin henkilöstön jäseniä, silloin kun nämä tekevät virkatietä käyttämättä Euroopan tietosuojavaltuutetulle valituksen, joka koskee tämän asetuksen säännösten väitettyä rikkomista.

Ehdotuksen 69 artikla perustuu asetuksen (EY) N:o 45/2001 49 artiklaan. Siinä säädetään seuraamuksista, joita sovelletaan, jos Euroopan unionin palveluksessa oleva virkamies tai muu toimihenkilö jättää täyttämättä tämän asetuksen mukaiset velvollisuutensa.

IX LUKU – TÄYTÄNTÖÖNPANOSÄÄDÖKSET

Ehdotuksen 70 artiklassa säädetään komiteamenettelystä, jolla komissiolle siirretään täytäntöönpanovaltaa sellaisia tapauksia varten, joissa unionin oikeudellisesti velvoittavat säädökset edellyttävät SEUT-sopimuksen 291 artiklan mukaisesti yhdenmukaista täytäntöönpanoa. Sovelletaan tarkastelumenettelyä.

X LUKU – LOPPUSÄÄNNÖKSET

Ehdotuksen 71 artiklalla kumotaan asetus (EY) N:o 45/2001 ja päätös N:o 1247/2002/EY, ja siinä säädetään, että viittaukset kyseisiin kahteen kumottuun säädökseen on katsottava viittauksiksi tähän asetukseen.

Ehdotuksen 72 artiklassa selvennetään, että asetus ei vaikuta Euroopan tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nykyiseen toimikauteen ja että asetuksen 54 artiklan 4, 5 ja 7 kohtaa sekä 56 ja 57 artiklaa sovelletaan nykyiseen apulaistietosuojavaltuutettuun hänen toimikautensa loppuun asti eli 5 päivään joulukuuta 2019.

Asetuksen 73 artiklassa säädetään, että asetus tulee voimaan 25 päivänä toukokuuta 2018, jotta varmistetaan yhdenmukaisuus asetuksen (EU) 2016/679 soveltamispäivän kanssa.

2017/0002 (COD)

Ehdotus

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

yksilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan 2 kohdan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon 10 ,

noudattavat tavallista lainsäätämisjärjestystä,

sekä katsovat seuraavaa:

(1)Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan, jäljempänä ’perusoikeuskirja’, 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.

(2)Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 45/2001 11 säädetään luonnollisten henkilöiden täytäntöönpanokelpoisista oikeuksista, määritetään rekisterinpitäjien tietojenkäsittelyvelvollisuudet yhteisön toimielimissä ja elimissä, ja perustetaan riippumaton valvontaviranomainen Euroopan tietosuojavaltuutettu, jonka tehtävänä on valvoa henkilötietojen käsittelyä unionin toimielimissä ja elimissä. Sitä ei kuitenkaan sovelleta henkilötietojen käsittelyyn, joka suoritetaan unionin toimielinten ja muiden elinten sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.

(3)Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 12 sekä Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 13 hyväksyttiin 27 päivänä huhtikuuta 2016. Asetuksessa vahvistetaan yleiset säännöt luonnollisten henkilöiden suojelemiseksi henkilötietojen käsittelyssä ja näiden tietojen vapaan liikkuvuuden varmistamiseksi unionissa, kun taas direktiivissä vahvistetaan erityiset säännöt luonnollisten henkilöiden suojelemiseksi henkilötietojen käsittelyssä ja näiden tietojen vapaan liikkuvuuden varmistamiseksi unionissa rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla.

(4)Asetuksessa (EU) 2016/679 korostetaan tarvetta tehdä asetukseen (EY) N:o 45/2001 tarpeelliset mukautukset vahvan ja johdonmukaisen tietosuojakehyksen luomiseksi unioniin ja jotta niitä voitaisiin alkaa soveltaa samanaikaisesti asetuksen (EU) 2016/679 kanssa.

(5)Henkilötietojen suojaan koko unionissa sovellettavan johdonmukaisen lähestymistavan ja näiden tietojen unionissa tapahtuvan vapaan liikkuvuuden vuoksi on tarkoituksenmukaista yhdenmukaistaa mahdollisuuksien mukaan unionin toimielinten ja elinten tietosuojasäännöt jäsenvaltioiden julkista sektoria varten hyväksyttyjen tietosuojasääntöjen kanssa. Aina kun tämän asetuksen säännökset perustuvat samaan käsitteeseen kuin asetuksen (EU) 2016/679 säännökset, näitä kahta säännöstöä olisi tulkittava yhteneväisesti, erityisesti siksi, että asetuksen rakenteen olisi katsottava vastaavan asetuksen (EU) 2016/679 rakennetta.

(6)Henkilöitä, joiden henkilötietoja käsitellään unionin toimielimissä ja elimissä missä tahansa yhteydessä, esimerkiksi siitä syystä, että he ovat kyseisten toimielinten ja elinten palveluksessa, olisi suojeltava. Tätä asetusta ei pitäisi soveltaa kuolleita henkilöitä koskevien tietojen käsittelyyn. Tämä asetus ei koske oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen yritysten henkilötietojen käsittelyä, kuten oikeushenkilön nimeä, oikeudellista muotoa ja yhteystietoja.

(7)Vakavan väärinkäytösten riskin välttämiseksi luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta. Luonnollisten henkilöiden suojelun olisi koskettava myös henkilötietojen automaattista käsittelyä sekä niiden manuaalista käsittelyä, jos henkilötiedot sisältyvät tai ne on tarkoitus sisällyttää rekisteriin. Tämän asetuksen soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjakokoelmia kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti.

(8)Lissabonin sopimuksen hyväksyneen hallitustenvälisen konferenssin päätösasiakirjan liitteenä olevassa julistuksessa N:o 21 henkilötietojen suojasta rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla konferenssi totesi, että Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan mukaiset erityissäännöt henkilötietojen suojasta ja henkilötietojen vapaasta liikkuvuudesta voivat osoittautua tarpeellisiksi rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla näiden alojen erityisluonteen vuoksi. Tätä asetusta olisi sen vuoksi sovellettava rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla toimiviin unionin virastoihin vain siltä osin kuin kyseisiin virastoihin sovellettavassa unionin oikeudessa ei ole erityisiä säännöksiä henkilötietojen käsittelystä.

(9)Direktiivissä (EU) 2016/680 säädetään yhdenmukaistetuista säännöistä, joita sovelletaan sellaisten henkilötietojen suojelemiseen ja vapaaseen liikkuvuuteen, joita käsitellään rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Jotta voitaisiin edistää samaa luonnollisten henkilöiden suojelun tasoa oikeudellisesti täytäntöönpanokelpoisilla oikeuksilla kaikkialla unionissa ja estää eroavuuksia haittaamasta henkilötietojen vaihtoa rikosoikeuden alalla tehtävään oikeudelliseen yhteistyöhön ja poliisiyhteistyöhön liittyviä toimintoja harjoittavien unionin virastojen ja jäsenvaltioiden toimivaltaisten viranomaisten välillä, tällaisissa unionin virastoissa käsiteltävien operatiivisten henkilötietojen suojelua ja vapaata liikkuvuutta koskevissa säännöissä olisi otettava huomioon tämän asetuksen taustalla olevat periaatteet, ja niiden olisi oltava yhdenmukaisia direktiivin (EU) 2016/680 kanssa.

(10)Jos perussopimuksen V osaston 4 ja 5 luvun soveltamisalaan kuuluvia toimintoja harjoittavan unionin viraston perustamissäädöksessä määrätään erillisestä operatiivisten henkilötietojen käsittelyä koskevasta tietosuojajärjestelmästä, tämä asetus ei vaikuta kyseisiin järjestelmiin. Komission olisi kuitenkin direktiivin (EU) 2016/680 62 artiklan mukaisesti tarkasteltava 6 päivään toukokuuta 2019 mennessä unionin säädöksiä, joilla säännellään toimivaltaisten viranomaisten suorittamaa henkilötietojen käsittelyä rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, ja tehdä tarvittaessa tarpeelliset ehdotukset kyseisten säädösten muuttamiseksi, jotta voidaan varmistaa johdonmukainen lähestymistapa henkilötietojen suojeluun rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla.

(11)Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tämä asetus ei tämän vuoksi koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä.

(12)Pseudonymisoinnin soveltaminen henkilötietoihin voi vähentää asianomaisiin rekisteröityihin kohdistuvia riskejä sekä auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä noudattamaan tietosuojavelvoitteitaan. ”Pseudonymisoinnin” nimenomaisella sisällyttämisellä tähän asetukseen ei ole tarkoitus sulkea pois mitään muita tietosuojatoimenpiteitä.

(13)Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimille toimitettuihin tietoihin.

(14)Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.

(15)Henkilötietojen käsittelyn olisi oltava laillista ja asianmukaista. Luonnollisille henkilöille olisi oltava läpinäkyvää, miten heitä koskevia henkilötietoja kerätään ja käytetään ja niihin tutustutaan tai niitä käsitellään muulla tavoin, ja heidän olisi oltava selvillä siitä, missä määrin henkilötietoja käsitellään tai on määrä käsitellä. Läpinäkyvyyden periaatteen mukaisesti kyseisten henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä. Tämä periaate koskee erityisesti rekisteröityjen tietoja rekisterinpitäjän identiteetistä ja käsittelyn tarkoituksista sekä lisätietoja, joilla varmistetaan kyseisiä luonnollisia henkilöitä koskevan käsittelyn asianmukaisuus ja läpinäkyvyys, sekä heidän oikeuttaan saada vahvistus ja ilmoitus heitä koskevien henkilötietojen käsittelystä. Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää tällaista käsittelyä koskevia oikeuksiaan. Varsinkin henkilötietojen käsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keruun yhteydessä yksiselitteisesti ja lainmukaisesti. Henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja olisi käsiteltävä vain jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Olisi toteutettava kaikki kohtuulliset toimenpiteet, jotta varmistetaan, että virheelliset henkilötiedot oikaistaan tai poistetaan. Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa ehkäistään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin sekä tällaisten tietojen tai laitteistojen luvaton käyttö.

(16)Jos unionin toimielimet ja elimet siirtävät henkilötietoja unionin toimielinten ja elinten sisällä tai muille unionin toimielimille ja elimille, niiden olisi tilivelvollisuuden periaatteen mukaisesti varmistettava, tarvitaanko tällaisia henkilötietoja vastaanottajan toimivaltaan kuuluvien tehtävien lainmukaista suorittamista varten, jos vastaanottaja ei ole osa rekisterinpitäjää. Kun vastaanottaja on pyytänyt henkilötietojen siirtoa, rekisterinpitäjän olisi erityisesti varmistettava henkilötietojen laillisen käsittelyn asianmukainen peruste ja vastanottajan toimivalta sekä arvioitava alustavasti tietojen siirtämisen tarpeellisuus. Jos tarpeellisuudesta on epäilyksiä, rekisterinpitäjän olisi pyydettävä vastaanottajalta lisäselvityksiä. Vastaanottajan olisi varmistettava, että tietojen siirron tarpeellisuus voidaan myöhemmin todentaa.

(17)Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava sellaisen tehtävän suorittamisen tarpeellisuuteen, jonka unionin toimielimet ja elimet suorittavat yleisen edun vuoksi tai niille kuuluvaa julkista valtaa käyttäen, rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamisen tarpeeseen tai muuhun tässä asetuksessa tarkoitettuun oikeutettuun perusteeseen, mukaan lukien asianomaisen rekisteröidyn suostumus tai sellaisen sopimuksen täytäntöönpanon tarve, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttaminen rekisteröidyn pyynnöstä. Henkilötietojen käsittelyyn unionin toimielimissä ja elimissä yleisen edun edellyttämien tehtävien suorittamiseksi sisältyy toimielinten ja elinten hallinnolle ja toiminnalle tarpeellisten henkilötietojen käsittely. Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön hengen kannalta olennaisten etujen suojelemiseksi. Henkilötietoja olisi lähtökohtaisesti voitava käsitellä ainoastaan toisen luonnollisen henkilön elintärkeän edun perusteella, silloin kun käsittelyllä ei ole muuta ilmeistä käsittelyn oikeusperustetta. Tietyntyyppinen käsittely voi palvella sekä yleistä etua koskevia tärkeitä syitä että rekisteröidyn elintärkeää etua esimerkiksi silloin, kun tietojenkäsittely on tarpeen humanitaarisista syistä, kuten epidemioiden ja niiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, erityisesti luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä.

(18)Unionin oikeuden, mukaan lukien tässä asetuksessa tarkoitetut sisäiset säännöt, olisi kuitenkin oltava selkeä ja täsmällinen ja sen soveltamisen henkilöiden kannalta ennakoitavissa olevaa Euroopan unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti.

(19)Henkilötietojen käsittely muihin kuin niihin tarkoituksiin, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustetta. Jos käsittely on tarpeen yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä edellyttävän tehtävän suorittamiseksi, unionin oikeudessa voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Myöhempi käsittely yleisen edun mukaisiin arkistointitarkoituksiin taikka tieteellisiä tai historiallisia tutkimustarkoituksia varten tai tilastollisiin tarkoituksiin olisi katsottava yhteensopiviksi laillisiksi käsittelytoimiksi. Myös unionin oikeuden tarjoama käsittelyn oikeusperuste henkilötietojen käsittelylle voi muodostaa käsittelyn oikeusperusteen myöhemmälle käsittelylle. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen; henkilötietojen luonne; suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille; ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.

(20)Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän olisi voitava osoittaa, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi varmistettava suojatoimin, että rekisteröity on tietoinen antamastaan suostumuksesta ja siitä, kuinka pitkälle menevästä suostumuksesta on kyse. Neuvoston direktiivin 93/13/ETY 14 mukaisesti rekisterinpitäjän ennalta muotoilema ilmoitus suostumuksesta olisi annettava helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä eikä siihen pitäisi sisältyä kohtuuttomia ehtoja. Tietoisen suostumuksen antamiseksi rekisteröidyn olisi tiedettävä vähintään rekisterinpitäjän henkilöllisyys ja tarkoitukset, joita varten henkilötietoja on määrä käsitellä. Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta tai jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.

(21)Erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan. Tällaista erityistä suojaa olisi sovellettava etenkin lapsia koskevien henkilöprofiilien luomiseen ja henkilötietojen keräämiseen, kun käytetään suoraan lapsille unionin toimielinten ja elinten verkkosivuilla tarjottuja palveluja, kuten henkilöviestinnän palvelut tai lippujen myyminen verkossa ja silloin kun henkilötietojen käsittely perustuu suostumukseen.

(22)Kun unioniin sijoittautuneet vastaanottajat, joihin sovelletaan asetusta (EU) 2016/679 tai direktiiviä (EU) 2016/680, haluaisivat, että unionin toimielimet ja elimet siirtäisivät niille henkilötietoja, näiden vastaanottajien olisi osoitettava, että tietojen siirtäminen on tarpeen niiden tavoitteen saavuttamiseksi ja että se on oikeasuhteinen eikä ylitä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi. Unionin toimielinten, elinten ja laitosten olisi osoitettava tällainen tarve, kun ne itse ovat siirron alkuunpanijoita, läpinäkyvyyden periaatteen mukaisesti.

(23)Henkilötiedot, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, ansaitsevat erityistä suojelua, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Tällaisiin henkilötietoihin olisi sisällyttävä henkilötiedot, joista ilmenee rotu tai etninen alkuperä. Ilmaisun ”rotu” käyttäminen tässä asetuksessa ei kuitenkaan tarkoita sitä, että unioni hyväksyisi teorioita, joilla yritetään määrittää eri ihmisrotujen olemassaolo. Valokuvien käsittelyä ei olisi automaattisesti katsottava henkilötietojen erityisryhmien käsittelyksi, koska valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen. Arkaluonteisten tietojen käsittelyä koskevien erityisvaatimusten lisäksi olisi sovellettava tämän asetuksen yleisiä periaatteita ja muita sääntöjä erityisesti lainmukaisen tietojenkäsittelyn osalta. Olisi kuitenkin nimenomaisesti säädettävä poikkeuksista yleiseen kieltoon, joka koskee erityisiin henkilötietojen ryhmiin kuuluvien tietojen käsittelyä, muun muassa silloin, kun rekisteröity antaa nimenomaisen suostumuksensa tai silloin, kun kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen.

(24)Erityisryhmiin kuuluvia henkilötietoja saattaa olla tarpeen käsitellä ilman rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista syistä. Tällaisen käsittelyn olisi edellytettävä asianmukaisia ja erityisiä toimenpiteitä luonnollisten henkilöiden oikeuksien ja vapauksien suojelemiseksi. Tässä yhteydessä ’kansanterveydellä’ olisi Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1338/2008 15 esitetyn määritelmän mukaisesti tarkoitettava kaikkia niitä osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuoltopalvelujen tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuoltopalvelujen tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä kuolleisuuden syitä. Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten kolmansien osapuolten toimesta.

(25)Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsittelemiensä henkilötietojen perusteella, rekisterinpitäjää ei saisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä on tarpeen vain, jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä. Rekisterinpitäjän ei pitäisi kuitenkaan kieltäytyä vastaanottamasta rekisteröidyn antamia lisätietoja tämän oikeuksien käyttämisen tukemiseksi. Tunnistamiseen olisi sisällytettävä rekisteröidyn digitaalinen tunnistaminen esimerkiksi todentamismekanismin avulla, kuten käyttämällä samoja tunnisteita, joita rekisteröity käyttää kirjautuessaan rekisterinpitäjän tarjoamiin verkkopalveluihin.

(26)Henkilötietojen käsittelyyn yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten olisi sovellettava tämän asetuksen mukaisia rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia. Näillä suojatoimilla olisi varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaate. Henkilötietojen myöhempi käsittely yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten on tehtävä, jos rekisterinpitäjä on arvioinut, onko kyseiset tarkoitukset mahdollista saavuttaa käsittelemällä tietoja, joiden avulla ei voida tai ei enää voida tunnistaa rekisteröityjä, kunhan asianmukaiset suojatoimet (kuten tietojen pseudonymisointi) on toteutettu. Unionin toimielinten ja elinten olisi säädettävä unionin oikeudessa, johon voi kuulua sisäisiä sääntöjä, asianmukaisista suojatoimista henkilötietojen käsittelylle yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten.

(27)Olisi säädettävä yksityiskohtaisesti siitä, miten tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa esimerkiksi mekanismeilla, joilla rekisteröity voi pyytää pääsyä henkilötietoihin ja esittää henkilötietojen oikaisemista tai poistamista koskevan pyynnön ja mahdollisuuksien mukaan saada nämä oikeudet maksutta, sekä käyttää oikeuttaan vastustaa henkilötietojen käsittelyä. Rekisterinpitäjän olisi myös tarjottava keinot esittää tällaiset pyynnöt sähköisesti erityisesti silloin, kun henkilötietoja käsitellään sähköisesti. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa sekä perustelemaan kieltäytymisensä siinä tapauksessa, että rekisterinpitäjä ei aio noudattaa tällaista pyyntöä.

(28)Asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle on ilmoitettava henkilötietojen käsittelystä ja sen tarkoituksista. Rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyyn liittyvät erityiset olosuhteet ja asiayhteys. Rekisteröidylle olisi myös ilmoitettava profiloinnin olemassaolosta ja sen seurauksista. Jos henkilötietoja kerätään rekisteröidyltä, tälle olisi lisäksi ilmoitettava, onko hänen pakko toimittaa henkilötiedot, sekä kieltäytymisen seurauksista. Nämä tiedot voidaan antaa yhdessä vakiomuotoisten kuvakkeiden kanssa, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden olisi oltava koneellisesti luettavissa.

(29)Rekisteröidylle olisi ilmoitettava häntä koskevien henkilötietojen käsittelystä tietojen keruun yhteydessä tai, jos henkilötiedot on saatu jostain muusta lähteestä, kohtuullisen ajan kuluessa tietojen keruusta, tapaukseen liittyvät olosuhteet huomioon ottaen. Jos henkilötietoja voidaan laillisesti luovuttaa toiselle vastaanottajalle, rekisteröidylle olisi ilmoitettava tästä silloin, kun henkilötietoja luovutetaan ensimmäisen kerran. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja muuhun tarkoitukseen kuin siihen, jota varten ne on kerätty, rekisterinpitäjän olisi toimitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tiedot tästä muusta tarkoituksesta sekä muut tarvittavat tiedot. Jos rekisteröidylle ei ole voitu ilmoittaa henkilötietojen alkuperää johtuen siitä, että on käytetty useita lähteitä, olisi annettava yleiset tiedot.

(30)Rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. Tähän sisältyy rekisteröidyn oikeus saada pääsy omiin terveystietoihinsa, kuten terveystiedostoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset, hoitavien lääkärien arviot ja muut hoitoa tai muita toimenpiteitä koskevat tiedot. Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista, ja jos mahdollista, käsittelyajasta, henkilötietojen vastaanottajista, käsiteltävien henkilötietojen automaattisen käsittelyn logiikasta sekä kyseisen käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. Tämä oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai henkinen omaisuus ja erityisesti ohjelmistojen tekijänoikeudet. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa. Jos rekisterinpitäjä käsittelee merkittäviä määriä rekisteröityä koskevia tietoja, rekisterinpitäjän olisi voitava pyytää rekisteröityä täsmentämään riittävällä tavalla ennen tietojen luovuttamista, mitä tietoja tai mitä käsittelytoimia rekisteröidyn pyyntö koskee.

(31)Luonnollisella henkilöllä olisi oltava oikeus saada häntä koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus ”tulla unohdetuksi”, jos tietojen säilyttäminen rikkoo tätä asetusta tai rekisterinpitäjään sovellettavaa unionin oikeutta. Rekisteröidyllä olisi oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin, tai kun rekisteröity on perunut tietojenkäsittelyä koskevan suostumuksensa tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista. Tämä oikeus tulee kyseeseen erityisesti silloin kun rekisteröity on antanut suostumuksensa lapsena, eikä ole ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä, ja haluaa myöhemmin poistaa tällaiset tiedot erityisesti internetistä. Rekisteröidyn olisi voitava käyttää tätä oikeutta siitä huolimatta, että hän ei enää ole lapsi. Henkilötietojen edelleen säilyttämisen tulisi kuitenkin olla lainmukaista, jos se on tarpeen sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi, lakisääteisen velvoitteen noudattamiseksi, yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä edellyttävän tehtävän suorittamiseksi, kansanterveyteen liittyvää yleistä etua koskevista syistä, yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

(32)Jotta voitaisiin vahvistaa oikeutta tulla unohdetuksi verkkoympäristössä, oikeutta tietojen poistamiseen olisi laajennettava edellyttämällä, että henkilötiedot julkistanut rekisterinpitäjä on velvollinen ilmoittamaan näitä henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kaikkien näihin tietoihin liittyvien linkkien tai näiden tietojen jäljennösten tai kopioiden poistamista. Näin menetellessään rekisterinpitäjän olisi toteutettava kohtuulliset toimenpiteet, mukaan lukien tekniset toimenpiteet, ottaen huomioon käytettävissä oleva teknologia ja keinot, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille rekisteröidyn pyynnöstä.

(33)Henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi.

(34)Jotta voitaisiin edelleen vahvistaa rekisteröityjen oikeutta valvoa henkilötietojaan silloin, kun henkilötietojen käsittely suoritetaan automaattisesti, rekisteröidyn olisi myös voitava saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää ne toiselle rekisterinpitäjälle. Rekisterinpitäjiä olisi kannustettava kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirtämisen. Tätä oikeutta olisi sovellettava silloin, kun rekisteröity on antanut henkilötiedot oman suostumuksensa perusteella tai kun käsittely on tarpeen sopimuksen täytäntöönpanemiseksi. Siksi sitä ei pitäisi soveltaa silloin, kun henkilötietojen käsittely on tarpeen rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä edellyttävän tehtävän suorittamiseksi. Rekisteröidyn oikeus siirtää tai vastaanottaa häntä koskevia henkilötietoja ei saisi luoda rekisterinpitäjille velvoitetta hyväksyä tai ylläpitää tietojenkäsittelyjärjestelmiä, jotka ovat teknisesti yhteensopivia. Jos tietyssä henkilötietoja sisältävässä tietojoukossa tiedot koskevat useampia kuin yhtä rekisteröityä, oikeus vastaanottaa henkilötietoja ei saisi rajoittaa toisten rekisteröityjen tämän asetuksen mukaisia oikeuksia ja vapauksia. Tämä oikeus ei saisi myöskään rajoittaa rekisteröidyn oikeutta saada henkilötiedot poistetuiksi eikä tämän asetuksen mukaisia rajoituksia kyseiseen oikeuteen, ja se ei etenkään saisi merkitä niiden rekisteröityä koskevien henkilötietojen poistamista, jotka tämä on antanut sopimuksen täytäntöönpanoa varten, siinä määrin ja niin kauan kuin henkilötiedot ovat tarpeen sopimuksen täytäntöönpanoa varten. Kun se on teknisesti mahdollista, rekisteröidyllä pitäisi olla oikeus siihen, että henkilötiedot siirretään suoraan rekisterinpitäjältä toiselle.

(35)Tapauksissa, joissa henkilötietoja voitaisiin käsitellä lainmukaisesti, koska käsittely on tarpeen yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä edellyttävän tehtävän suorittamiseksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa hänen tilannettaan koskevien henkilötietojen käsittelyä. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän huomattavan tärkeät oikeutetut edut voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja -vapaudet.

(36)Rekisteröidyllä olisi oltava oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan, mahdollisesti toimenpiteen sisältävän päätöksen kohteeksi, joka on tehty yksinomaan automaattisen tietojenkäsittelyn perusteella, josta hänelle aiheutuu oikeudellisia vaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla, kuten sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista. Kyseinen tietojenkäsittely sisältää ”profiloinnin”, joka tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeudellisia vaikutuksia tai se vaikuttaa häneen vastaavasti merkittävällä tavalla. Kyseiseen tietojenkäsittelyyn, mukaan lukien profilointiin, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa unionin oikeudessa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Tällaista toimenpidettä ei saisi kohdistaa lapseen. Rekisteröityä koskevan asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyyn liittyvät erityiset olosuhteet ja asiayhteys, rekisterinpitäjän olisi käytettävä profiloinnissa asianmukaisia matemaattisia tai tilastollisia menetelmiä, toteutettava teknisiä ja organisatorisia toimenpiteitä, jotka soveltuvat erityisesti sen varmistamiseen, että henkilötietojen virheellisyyteen johtavat tekijät korjataan ja virheriski minimoidaan, sekä turvattava henkilötiedot siten, että rekisteröidyn etuihin ja oikeuksiin kohdistuvat mahdolliset riskit otetaan huomioon ja estetään muun muassa luonnollisten henkilöiden syrjintä rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, geneettisen tilan, terveydentilan tai seksuaalisen suuntautumisen perusteella taikka vaikutukset, joiden johdosta toteutetaan toimenpiteitä, joilla on tällaisia seurauksia. Henkilötietojen erityisluokitteluun perustuva automaattinen päätöksenteko ja profilointi olisi sallittava vain erityistilanteissa.

(37)Perussopimusten perusteella hyväksytyissä säädöksissä tai unionin toimielinten ja elinten sisäisissä säännöissä voidaan asettaa rajoituksia, jotka koskevat erityisiä periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, pääsyä tietoihin ja oikeutta oikaista tai poistaa henkilötietoja ja oikeutta siirtää tiedot järjestelmästä toiseen, sähköisen viestinnän luottamuksellisuutta sekä henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän velvollisuuksia, siltä osin kuin ne ovat välttämättömiä ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä yleisen turvallisuuden takaamiseksi, rikosten ennaltaehkäisemistä, tutkintaa ja rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy muun muassa ihmishenkien suojelemiseksi erityisesti ihmisen aiheuttaman tai luonnonkatastrofin yhteydessä, unionin toimielinten ja elinten sisäisen turvallisuuden vuoksi, muiden unionin tai jäsenvaltion tärkeiden yleistä etua koskevien syiden vuoksi, erityisesti unionin tai jäsenvaltion tärkeiden taloudellisten tai rahoitusta koskevien etujen vuoksi, yleiseen etuun liittyvistä syistä pidettävien julkisten rekisterien pitämiseksi tai rekisteröidyn suojelemiseksi tai muille kuuluvien oikeuksien ja vapauksien, muun muassa sosiaaliturvan, kansanterveyden ja humanitaaristen tarkoitusten, turvaamiseksi.

Jos rajoituksesta ei säädetä perussopimusten nojalla annetuissa säädöksissä tai sisäisissä säännöissä, unionin toimielimet ja elimet voivat tietyssä tapauksessa asettaa tilapäisen rajoituksen, joka koskee tiettyjä periaatteita ja rekisteröidyn oikeuksia, jos kyseisessä rajoituksessa noudatetaan tietyn käsittelytoimen osalta keskeisiltä osin perusoikeuksia ja vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen, jotta voidaan taata yksi tai useampi 1 kohdassa mainittu tavoite. Rajoituksesta olisi ilmoitettava tietosuojavastaavalle. Kaikkien rajoitusten olisi oltava perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisia.

(38)Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan luettuna. Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski. Nämä todennäköisyydeltään ja vakavuudeltaan vaihtelevat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen tai pseudonymisoitumisen luvattomaan kumoutumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista vahinkoa; kun rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan; kun käsitellään sellaisia henkilötietoja, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta ja ammattiliittoon kuulumista, tai käsitellään geneettisiä tietoja tai terveyttä ja seksuaalista käyttäytymistä tai rikostuomioita ja rikkomuksia tai niihin liittyviä turvaamistoimenpiteitä koskevia tietoja; kun arvioidaan henkilökohtaisia ominaisuuksia, erityisesti jos kyseessä on henkilöprofiilin luomista tai käyttämistä varten suoritettu analyysi tai ennakointi työsuorituksesta, taloudellisesta tilanteesta, terveydestä, henkilökohtaisista mieltymyksistä tai kiinnostuksen kohteista, luotettavuudesta tai käyttäytymisestä, sijainnista tai liikkeistä; kun käsitellään heikossa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilötietoja; tai kun käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää. Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus olisi määriteltävä tietojenkäsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin riski tai korkea riski.

(39)Luonnollisten henkilöiden oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että asetuksessa säädetyt vaatimukset täyttyvät. Jotta voidaan osoittaa, että asetusta on noudatettu, rekisterinpitäjän olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Tällaisia toimenpiteitä voisivat olla muun muassa henkilötietojen käsittelyn minimointi, henkilötietojen pseudonymisointi mahdollisimman pian, tehtävien ja henkilötietojen käsittelyn läpinäkyvyys sekä sen mahdollistaminen, että rekisteröity voi valvoa tietojenkäsittelyä ja että rekisterinpitäjä voi luoda ja parantaa turvaominaisuuksia. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet olisi myös huomioitava julkisten tarjouskilpailujen yhteydessä.

(40)Rekisteröidyn oikeuksien ja vapauksien suojelun sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuun ja vastuuvelvollisuuden takia on asetuksessa säädetyt tehtävät jaettava selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta.

(41)Jotta voidaan varmistaa, että henkilötietojen käsittelijä noudattaa tämän asetuksen vaatimuksia rekisterinpitäjän puolesta suorittamassaan käsittelyssä, rekisterinpitäjän olisi antaessaan käsittelytoiminnat henkilötietojen käsittelijän tehtäväksi käytettävä ainoastaan sellaisia henkilötietojen käsittelijöitä, joilla on antaa riittävät takeet erityisesti asiantuntemuksesta, luotettavuudesta ja resursseista, jotta ne voivat panna täytäntöön tämän asetuksen vaatimusten mukaiset tekniset ja organisatoriset toimenpiteet, käsittelyn turvallisuus mukaan lukien. Sitä, että jotkin muut henkilötietojen käsittelijät kuin unionin toimielimet ja elimet noudattavat hyväksyttyjä käytännesääntöjä tai hyväksyttyä sertifiointimekanismia, voidaan käyttää osoittamaan rekisterinpitäjälle asetettujen velvollisuuksien noudattamista. Henkilötietojen käsittelijän suorittamaa käsittelyä olisi säänneltävä unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijän rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitukset, henkilötietojen tyyppi ja rekisteröityjen ryhmät, ja siinä olisi otettava huomioon henkilötietojen käsittelijän erityistehtävät ja vastuualueet suoritettavan käsittelyn yhteydessä sekä rekisteröidyn oikeuksiin ja vapauksiin liittyvä riski. Rekisterinpitäjän ja henkilötietojen käsittelijän olisi voitava päättää, käyttävätkö ne yksittäistä sopimusta tai sellaisia vakiosopimuslausekkeita, jotka hyväksyy joko suoraan komissio tai ensin Euroopan tietosuojavaltuutettu ja sitten komissio. Kun henkilötietojen käsittelijä on saattanut käsittelyn loppuun rekisterinpitäjän puolesta, sen olisi rekisterinpitäjän valinnan mukaisesti palautettava tai poistettava henkilötiedot, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot.

(42)Rekisterinpitäjien olisi ylläpidettävä rekisteriä niiden vastuulla olevista käsittelytoimista ja henkilötietojen käsittelijöiden olisi ylläpidettävä rekisteriä niiden vastuulla olevista käsittelytoimien ryhmistä voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia. Unionin toimielimet ja elimet olisi velvoitettava tekemään yhteistyötä Euroopan tietosuojavaltuutetun kanssa ja esittämään sille pyydettäessä käsittelyä koskevat rekisterit, jotta tietojenkäsittelytoimia voidaan seurata niiden pohjalta. Unionin toimielinten ja elinten olisi voitava perustaa tietojenkäsittelytoimiaan koskeva keskusrekisteri. Läpinäkyvyyden vuoksi niiden olisi myös voitava tehdä rekisteristä julkinen.

(43)Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi esimerkiksi salauksella. Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja.

(44)Unionin toimielinten ja elinten olisi varmistettava sähköisen viestinnän luottamuksellisuus perusoikeuskirjan 7 artiklan mukaisesti. Unionin toimielinten ja elinten olisi erityisesti varmistettava sähköisten viestintäverkkojensa turvallisuus, suojattava tiedot, jotka liittyvät niiden yleisesti saatavilla olevia verkkosivustoja ja mobiilisovelluksia käyttävien loppukäyttäjien päätelaitteisiin asetuksen (EU) XXXX/XX [uusi sähköisen viestinnän tietosuoja-asetus], ja suojattava käyttäjien luetteloissa olevat henkilötiedot.

(45)Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja. Sen vuoksi rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta Euroopan tietosuojavaltuutetulle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos rekisterinpitäjä pystyy osoittamaan tilivelvollisuusperiaatteen mukaisesti, että henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos tällaista ilmoitusta ei voida tehdä 72 tunnin kuluessa, ilmoitukseen olisi liitettävä selvitys viivytyksen syistä, ja tietoa voidaan antaa vaiheittain ilman aiheetonta lisäviivytystä. Jos tällainen viive on perusteltu, rikkomista koskevat vähemmän arkaluonteiset tai vähemmän täsmälliset tiedot olisi annettava mahdollisimman varhaisessa vaiheessa sen sijaan, että taustalla oleva tietoturvaloukkaus ratkaistaisiin täysimääräisesti ennen ilmoituksen tekemistä.

(46)Rekisterinpitäjän olisi ilmoitettava henkilötietojen tietosuojaloukkauksesta rekisteröidylle viipymättä, jos tämä tietosuojaloukkaus todennäköisesti aiheuttaa luonnollisen henkilön oikeuksia ja vapauksia koskevan suuren riskin, jotta rekisteröity voi toteuttaa tarvittavat varotoimet. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen luonnollinen henkilö voi lieventää sen mahdollisia haittavaikutuksia. Tällainen ilmoitus rekisteröidylle olisi tehtävä niin pian kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä Euroopan tietosuojavaltuutetun kanssa noudattaen sen tai muiden asiaankuuluvien viranomaisten (kuten lainvalvontaviranomaisten) antamia ohjeita.

(47)Asetuksessa (EY) N:o 45/2001 säädetään rekisterinpitäjän yleisestä velvollisuudesta ilmoittaa henkilötietojen käsittelystä tietosuojavastaavalle, joka puolestaan pitää rekisteriä ilmoitetuista käsittelytoimista. Vaikka tämä velvollisuus aiheuttaa hallinnollista ja taloudellista rasitusta, se ei aina ole edistänyt henkilötietojen suojaa. Tällaisista yleisistä ilmoitusvelvollisuuksista olisi luovuttava ja ne olisi korvattava tehokkailla menettelyillä ja mekanismeilla, jotka keskittyvät käsittelytoimien tyyppeihin, joihin niiden luonteen, laajuuden, asiayhteyden ja tarkoitusten vuoksi todennäköisesti liittyy luonnollisten henkilöiden oikeuksien ja vapauksien kannalta korkea riski. Tällaisiin käsittelytoimien tyyppeihin kuuluvat erityisesti toimet, jotka perustuvat erityisesti uusien tekniikoiden käyttöön tai jotka ovat uudenlaisia ja joiden osalta rekisterinpitäjä ei ole ensin tehnyt tietosuojaa koskevaa vaikutustenarviointia, tai tietosuojaa koskeva vaikutustenarviointi on tullut tarpeelliseksi, koska aikaa on kulunut siitä kun käsittely alkoi. Tapauksissa, joissa luonnollisten henkilöiden oikeuksiin tai vapauksiin kohdistuu korkea riski, rekisterinpitäjän olisi kyseisen riskin erityisen todennäköisyyden ja vakavuuden arvioimiseksi käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten sekä riskin alkuperän huomioon ottaen tehtävä ennen tietojenkäsittelyä tietosuojaa koskeva vaikutustenarviointi. Tässä vaikutustenarvioinnissa olisi tarkasteltava erityisesti suunniteltuja toimenpiteitä sekä suojatoimia ja mekanismeja, joiden avulla lievennetään edellä mainittua riskiä, varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu.

(48)Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelyyn liittyisi riskin lieventämistä koskevien suojatoimien, suojaustoimenpiteiden ja keinojen puuttumisen vuoksi suuri luonnollisten henkilöiden oikeuksiin ja vapauksiin vaikuttava riski, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen, ennen käsittelytoimien aloittamista olisi kuultava Euroopan tietosuojavaltuutettua. On todennäköistä, että tällainen korkea riski liittyy tietyntyyppiseen henkilötietojen käsittelyyn ja käsittelyn laajuuteen ja toistumistiheyteen, mikä voi aiheuttaa vahinkoa myös luonnollisen henkilön oikeuksille ja vapauksille tai merkitä niihin puuttumista. Euroopan tietosuojavaltuutetun olisi vastattava kuulemispyyntöön määrätyn ajan kuluessa. Euroopan tietosuojavaltuutetun reagoimattomuus määräajan puitteissa ei kuitenkaan saisi vaikuttaa tietosuojavaltuutetun mahdollisiin toimiin sille tässä asetuksessa annettujen tehtävien ja valtuuksien puitteissa, kuten valtaan kieltää käsittelytoimia. Osana kuulemismenettelyä pitäisi olla mahdollista toimittaa Euroopan tietosuojavaltuutetulle käsittelyn osalta toteutetun tietosuojaa koskevan vaikutustenarvioinnin tulos, etenkin toimenpiteet, joiden tarkoituksena on vähentää luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.

(49)Euroopan tietosuojavaltuutetulle olisi ilmoitettava hallinnollisista toimenpiteistä ja unionin toimielinten ja elinten sisäisistä säännöistä, joissa määrätään henkilötietojen käsittelystä, määritetään edellytykset rekisteröidyn oikeuksien rajoituksille tai määrätään asianmukaisista suojatoimista rekisteröidyn oikeuksien osalta, jotta voitaisiin varmistaa, että aiotussa käsittelyssä noudatetaan tätä asetusta, ja erityisesti pienentää rekisteröityyn henkilöön kohdistuvia riskejä.

(50)Asetuksessa (EU) 2016/679 perustettiin Euroopan tietosuojaneuvosto riippumattomaksi unionin elimeksi, jolla on oikeushenkilön asema. Tietosuojaneuvoston olisi edistettävä asetuksen (EU) 2016/679 ja direktiivin 2016/680 johdonmukaista soveltamista kaikkialla unionissa, muun muassa antamalla neuvoja komissiolle. Samanaikaisesti Euroopan tietosuojavaltuutetun olisi edelleen huolehdittava valvonta- ja neuvontatehtävistään kaikkien unionin toimielinten ja elinten osalta, myös omasta aloitteestaan tai pyynnöstä. Jotta varmistetaan tietosuojasäännösten johdonmukaisuus kaikkialla unionissa, komission kuulemisen olisi oltava pakollista sellaisten lainsäätämisjärjestyksessä hyväksyttävien säädösten hyväksymisen jälkeen tai laadittaessa sellaisia delegoituja säädöksiä ja täytäntöönpanosäädöksiä, sellaisina kuin ne on määritelty SEUT-sopimuksen 289, 290 ja 291 artiklassa, ja sellaisten SEUT-sopimuksen 218 artiklassa tarkoitettuihin, kolmansien maiden ja kansainvälisten järjestöjen kanssa tehtyihin sopimuksiin liittyvien suositusten ja ehdotusten hyväksymisen jälkeen, jotka vaikuttavat henkilötietojen suojaa koskevaan oikeuteen. Tällaisissa tapauksissa komission olisi kuultava Euroopan tietosuojavaltuutettua, paitsi silloin kun asetuksessa (EU) N:o 2016/679 säädetään Euroopan tietosuojaneuvoston pakollisesta kuulemisesta, esimerkiksi silloin, kun on kyse tietosuojan tason riittävyyttä koskevista päätöksistä tai vakiomuotoisia kuvakkeita ja sertifiointimekanismeille asetettavia vaatimuksia koskevista delegoiduista säädöksistä. Jos kyseinen säädös on erityisen tärkeä yksilöiden oikeuksien ja vapauksien suojelemiseksi henkilötietojen käsittelyn osalta, komission olisi voitava kuulla myös Euroopan tietosuojaneuvostoa. Näissä tapauksissa Euroopan tietosuojavaltuutetun olisi Euroopan tietosuojaneuvoston jäsenenä koordinoitava toimensa tietosuojaneuvoston kanssa yhteisen lausunnon antamiseksi. Euroopan tietosuojavaltuutetun ja tarvittaessa Euroopan tietosuojaneuvoston olisi toimitettava kirjalliset lausuntonsa kahdeksan viikon kuluessa. Kyseisen määräajan olisi oltava lyhyempi kiireellisissä tapauksissa tai muuten tarvittaessa, esimerkiksi komission valmistellessa delegoituja säädöksiä ja täytäntöönpanosäädöksiä.

(51)Tietosuojavastaavan olisi valvottava kussakin unionin toimielimessä tai elimessä tämän asetuksen säännösten soveltamista ja neuvottava rekisterinpitäjiä ja henkilötietojen käsittelijöitä näiden velvoitteiden noudattamisessa. Tietosuojavastaavan olisi oltava henkilö, jolla on tietosuojalainsäädäntöä koskevaa erityisasiantuntemusta ja kokemusta, mikä olisi määriteltävä etenkin rekisterinpitäjän tai henkilötietojen käsittelijän suorittamien tietojenkäsittelytoimien ja käsiteltävien henkilötietojen edellyttämän suojan perusteella. Tietosuojavastaavien olisi voitava täyttää velvollisuutensa ja suorittaa tehtävänsä riippumattomasti.

(52)Henkilötietojen siirtäminen unionin toimielimistä ja elimistä kolmansissa maissa oleville rekisterinpitäjille, henkilötietojen käsittelijöille tai muille vastaanottajille taikka kansainvälisille järjestöille ei saisi vaarantaa luonnollisten henkilöiden henkilötietojen suojan tasoa, joka unionissa perustuu tähän asetukseen, ei myöskään silloin, kun kolmannesta maasta tai kansainväliseltä järjestöltä vastaanotettuja henkilötietoja siirretään edelleen samassa tai muussa kolmannessa maassa tai muussa kansainvälisessä järjestössä oleville rekisterinpitäjille tai henkilötietojen käsittelijöille. Siirtoja kolmansiin maihin ja kansainvälisille järjestöille voidaan joka tapauksessa toteuttaa ainoastaan tätä asetusta kaikilta osin noudattaen. Siirto voitaisiin toteuttaa ainoastaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä noudattaa tämän asetuksen säännöksissä vahvistettuja edellytyksiä, jotka liittyvät henkilötietojen siirtoon kolmansiin maihin tai kansainvälisille järjestöille, ellei tämän asetuksen muista säännöksistä muuta johdu.

(53)Komissio voi todeta asetuksen (EU) 2016/679 45 artiklan nojalla, että jokin kolmas maa, kolmannen maan alue tai tietty sektori taikka kansainvälinen järjestö tarjoaa riittävän tasoisen tietosuojan. Tällöin unionin toimielin tai elin voi siirtää henkilötietoja kyseiseen kolmanteen maahan tai kansainväliselle järjestölle ilman erillistä lupaa.

(54)Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi. Nämä asianmukaiset suojatoimet voivat tarkoittaa sitä, että sovelletaan komission tai Euroopan tietosuojavaltuutetun hyväksymiä tietosuojaa koskevia vakiolausekkeita tai Euroopan tietosuojavaltuutetun hyväksymiä sopimuslausekkeita. Jos henkilötietojen käsittelijä ei ole unionin toimielin tai elin, asianmukaisia suojatoimia voivat olla myös yritystä koskevat sitovat säännöt, käytännesäännöt ja sertifiointimekanismit, joita käytetään asetuksen (EU) 2016/679 mukaisissa kansainvälisissä siirroissa. Näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen, kuten tehokkaiden hallinnollisten ja oikeudellisten muutoksenhakukeinojen ja korvauksenvaatimisoikeuden, saatavuus unionissa tai kolmannessa maassa. Niiden olisi erityisesti liityttävä henkilötietojen käsittelyä koskevien yleisten periaatteiden noudattamiseen sekä sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin. Myös unionin toimielimet ja elimet voivat toteuttaa siirtoja kolmansien maiden viranomaisille tai julkisille elimille tai vastaavia tehtäviä suorittaville kansainvälisille järjestöille esimerkiksi yhteisymmärryspöytäkirjoihin tai muihin rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia sisältäviin hallinnollisiin järjestelyihin sisällytettävien määräysten perusteella. Kun suojatoimet perustuvat muihin kuin oikeudellisesti sitoviin hallinnollisiin järjestelyihin, tähän olisi saatava Euroopan tietosuojavaltuutetun lupa.

(55)Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai Euroopan tietosuojavaltuutetun hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin, kuten henkilötietojen käsittelijän toisen henkilötietojen käsittelijän kanssa tekemään sopimukseen, eikä lisäämästä muita lausekkeita tai toteuttamasta muita suojatoimia, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai Euroopan tietosuojavaltuutetun hyväksymien vakiosopimuslausekkeiden kanssa eivätkä vaikuta rekisteröidyn perusoikeuksiin tai vapauksiin. Rekisterinpitäjiä ja henkilötietojen käsittelijöitä olisi kannustettava tarjoamaan lisäsuojaa sopimusperusteisilla velvoitteilla, joilla täydennetään tietosuojaa koskevia vakiolausekkeita.

(56)Jotkin kolmannet maat hyväksyvät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä unionin toimielinten ja elinten käsittelytoimia. Näihin voi kuulua kolmansien maiden tuomioistuinten tai hallintoviranomaisten päätöksiä, joissa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista ja jotka eivät perustu pyynnön esittäneen kolmannen maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen. Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla kansainvälisen oikeuden vastaista ja estää tähän asetukseen perustuvan luonnollisten henkilöiden suojan toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tunnustetun tärkeän yleistä etua koskevan syyn vuoksi.

(57)Olisi säädettävä mahdollisuudesta tehdä tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut nimenomaisen suostumuksensa ja kun siirto tapahtuu satunnaisesti ja on tarpeellinen sopimukselle tai oikeudelliselle vaateelle, riippumatta siitä, onko kyse oikeudellisesta menettelystä tai hallinnollisesta tai tuomioistuimen ulkopuolisesta menettelystä, sääntelyelimen menettelyt mukaan luettuina. Olisi myös säädettävä mahdollisuudesta tehdä tiedonsiirtoja, kun unionin oikeuteen perustuvat, tärkeää yleistä etua koskevat syyt niin vaativat tai kun siirto suoritetaan lailla perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa sellaisen henkilön käyttöön, jonka oikeutettu etu sitä edellyttää. Viimeksi mainitussa tapauksessa siirto ei saisi käsittää henkilötietoja kokonaisuudessaan tai rekisterin sisältämää kokonaista tietoryhmää, ellei se ole sallittu unionin oikeudessa, ja jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joiden oikeutettu etu sitä edellyttää, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia siten, että otetaan täysimääräisesti huomioon rekisteröidyn edut ja perusoikeudet.

(58)Näitä poikkeuksia olisi sovellettava erityisesti tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden vuoksi, esimerkiksi kun on kyse kansainvälisestä tiedonvaihdosta unionin toimielinten ja elinten sekä kilpailuviranomaisten, vero- tai tullihallintojen, finanssivalvonnasta vastaavien viranomaisten ja sosiaaliturvasta tai julkisesta terveydenhuollosta vastaavien yksikköjen välillä esimerkiksi tartuntatautien vuoksi tehtävän kontaktien jäljityksen yhteydessä tai urheilussa esiintyvän dopingin vähentämiseksi ja/tai lopettamiseksi. Henkilötietojen siirtoa olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen, kuten fyysisen koskemattomuuden ja hengen suojelemiseksi, jos rekisteröity on estynyt antamasta suostumustaan. Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa voidaan tärkeää yleistä etua koskevista syistä nimenomaisesti rajoittaa tiettyjen tietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle. Jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, hänen henkilötietojensa siirto kansainväliselle humanitaariselle järjestölle, jotta se voisi suorittaa tehtävän, joka sille Geneven yleissopimusten nojalla kuuluu, tai aseellisissa konflikteissa sovellettavan kansainvälisen humanitaarisen oikeuden noudattamiseksi, voidaan katsoa tarpeelliseksi yleistä etua koskevan tärkeän syyn vuoksi tai koska se on rekisteröidyn elintärkeiden etujen mukaista.

(59)Jos komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi turvauduttava ratkaisuihin, joilla rekisteröidyille annetaan täytäntöönpanokelpoiset ja tehokkaat oikeudet, jotka koskevat heidän tietojensa käsittelyä unionissa näiden tietojen siirtämisen jälkeen, jotta he voisivat edelleen nauttia perusoikeuksista ja suojatoimista.

(60)Henkilötietojen siirtäminen valtioiden rajojen yli unionin ulkopuolelle voi vaikeuttaa luonnollisten henkilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta. Toisaalta unionin valvontaviranomaiset, mukaan lukien Euroopan tietosuojavaltuutettu, eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan niiden oikeudenkäyttöalueen ulkopuolella. Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat vaikeuttaa myös riittämättömät toimivaltuudet ennalta ehkäiseviin tai korjaaviin toimiin, oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten resurssipula. Tämän vuoksi olisi edistettävä tiiviimpää yhteistyötä Euroopan tietosuojavaltuutetun ja muiden tietosuojaviranomaisten välillä, jotta voidaan vaihtaa tietoja kansainvälisten kumppanien kanssa.

(61)Keskeinen osa luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä on ollut perustaa asetuksessa (EY) N:o 45/2001 Euroopan tietosuojavaltuutettu, jolle on myönnetty valtuudet hoitaa tehtävänsä ja käyttää toimivaltaansa täysin riippumattomasti. Tässä asetuksessa olisi vahvistettava edelleen ja selvennettävä sen roolia ja riippumattomuutta.

(62)Tietosuojasääntöjen johdonmukaisen seurannan ja täytäntöönpanon varmistamiseksi kaikkialla unionissa Euroopan tietosuojavaltuutetulla olisi oltava samat tehtävät ja valtuudet kuin jäsenvaltioiden valvontaviranomaisilla, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia sekä hyväksymis- ja neuvontavaltuudet, erityisesti silloin kun luonnolliset henkilöt tekevät valituksia, ja saattaa tämän asetuksen rikkomiset Euroopan unionin tuomioistuimen käsiteltäväksi ja panna vireille oikeustoimet primaarioikeuden mukaisesti. Valtuuksiin olisi kuuluttava myös valtuus asettaa väliaikainen tai pysyvä tietojenkäsittelyn rajoitus, kuten käsittelykielto. Jotta vältetään tarpeettomien kustannusten ja liiallisten haittojen aiheuttaminen henkilöille, joihin toimenpide vaikuttaisi epäedullisesti, jokaisen Euroopan tietosuojavaltuutetun toimenpiteen olisi oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kuhunkin tapaukseen liittyvät olosuhteet ja kunnioitetaan jokaisen henkilön oikeutta tulla kuulluksi ennen kuin ryhdytään yksittäiseen toimenpiteeseen. Jokainen Euroopan tietosuojavaltuutetun oikeudellisesti sitova toimenpide olisi esitettävä kirjallisesti, sen olisi oltava selkeä ja yksiselitteinen, siinä olisi mainittava toimenpiteen antamispäivä, sen olisi oltava Euroopan tietosuojavaltuutetun allekirjoittama ja siinä olisi kerrottava toimenpiteen syyt ja viitattava tehokkaita oikeussuojakeinoja koskevaan oikeuteen.

(63)Euroopan tietosuojavaltuutetun päätökset, jotka koskevat tietojen käsittelyyn liittyviä, tässä asetuksessa määriteltyjä poikkeuksia, takuita, lupia ja ehtoja, olisi julkaistava toimintakertomuksessa. Vuosittain julkaistavan toimintakertomuksen lisäksi Euroopan tietosuojavaltuutettu voi julkaista kertomuksia erityisaiheista.

(64)Kansalliset valvontaviranomaiset seuraavat asetuksen (EU) 2016/679 soveltamista ja edistävät sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi sisämarkkinoilla. Jotta voidaan lisätä jäsenvaltioissa sovellettavien tietosuojasääntöjen ja unionin toimielinten ja elinten tietosuojasääntöjen soveltamisen yhdenmukaisuutta, Euroopan tietosuojavaltuutetun olisi tehtävä yhteistyötä kansallisten valvontaviranomaisten kanssa.

(65)Unionin oikeudessa säädetään tiettyjen tapausten osalta Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten välisestä koordinoidun valvonnan mallista. Lisäksi Euroopan tietosuojavaltuutettu on Europolin valvontaviranomainen, ja kansallisten valvontaviranomaisten kanssa tehtävän yhteistyön malli toteutetaan neuvoa-antavasta tehtävästä huolehtivan yhteistyöneuvoston kautta. Aineellisten tietosuojasääntöjen täytäntöönpanon ja valvonnan parantamiseksi unionissa olisi otettava käyttöön yksi yhtenäinen koordinoidun valvonnan malli. Komission olisi sen vuoksi esitettävä tarvittaessa lainsäädäntöehdotuksia koordinoitua valvontaa koskevien unionin säädösten muuttamiseksi, jotta ne vastaisivat tämän asetuksen koordinoidun valvonnan mallia. Euroopan tietosuojaneuvoston olisi toimittava keskitettynä foorumina, jonka avulla varmistetaan koordinoitu valvonta kaikilla aloilla.

(66)Jokaisella rekisteröidyllä olisi oltava oikeus tehdä valitus Euroopan tietosuojavaltuutetulle sekä oikeus tehokkaisiin oikeussuojakeinoihin Euroopan unionin tuomioistuimessa perussopimusten mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos Euroopan tietosuojavaltuutettu ei käsittele valitusta, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Valitus olisi tutkittava, siinä määrin kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen tutkittavaksi. Euroopan tietosuojavaltuutetun olisi ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja valitusta koskevasta ratkaisusta kohtuullisen ajan kuluessa. Jos asiassa tarvitaan koordinointia kansallisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle. Valitusten jättämisen helpottamiseksi Euroopan tietosuojavaltuutetun olisi toteutettava toimenpiteitä, esimerkiksi toimitettava valituslomake, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

(67)Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä olisi oltava oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta perussopimuksessa määrätyt edellytykset huomioon ottaen.

(68)Euroopan tietosuojavaltuutetun valvontaroolin ja tämän asetuksen tehokkaan täytäntöönpanon lujittamiseksi Euroopan tietosuojavaltuutetulla olisi oltava viimesijaisena seuraamuksena valtuudet määrätä hallinnollisia sakkoja. Sakkojen tavoitteena olisi oltava toimielimen tai elimen – eikä niinkään yksittäisen henkilön – rankaiseminen tämän asetuksen noudattamatta jättämisestä, tämän asetuksen noudattamatta jättämisen ehkäiseminen tulevaisuudessa ja henkilötietojen suojan edistäminen unionin toimielimissä ja elimissä. Tässä asetuksessa olisi mainittava rikkomiset ja niistä määrättävien hallinnollisten sakkojen enimmäismäärä ja määrän asettamisen perusteet. Euroopan tietosuojavaltuutetun olisi vahvistettava kussakin tapauksessa sakkojen määrä erikseen ottaen huomioon kaikki erityisen tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon rikkomisen luonne, vakavuus ja kesto, rikkomisen seuraukset sekä toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvoitteiden noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. Määrätessään hallinnollista sakkoa unionin elimelle Euroopan tietosuojavaltuutetun olisi otettava huomioon sakon määrän oikeasuhteisuus. Unionin toimielimille ja elimille määrättäviä sakkoja koskevassa hallinnollisessa menettelyssä olisi noudatettava unionin oikeuden yleisiä periaatteita, sellaisina kuin Euroopan unionin tuomioistuin niitä tulkitsee.

(69)Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu unionin oikeuden tai kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus Euroopan tietosuojavaltuutetulle. Tällaisella elimellä, järjestöllä tai yhdistyksellä olisi oltava oikeus käyttää oikeussuojakeinoja rekisteröityjen puolesta tai käyttää korvauksensaamisoikeutta rekisteröityjen puolesta.

(70)Unionin virkamiehelle tai muulle henkilöstön jäsenelle, joka jättää täyttämättä asetuksessa säädetyt velvollisuutensa, voidaan määrätä kurinpito- tai muu seuraamus Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen ja muuhun henkilöstöön sovellettavien palvelussuhteen ehtojen mukaisesti.

(71)Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa tässä asetuksessa säädetyn mukaisesti. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 16 mukaisesti. Olisi sovellettava tarkastusmenettelyä, kun hyväksytään rekisterinpitäjien ja henkilötietojen käsittelijöiden sekä henkilötietojen käsittelijöiden välisiä vakiosopimuslausekkeita, kun hyväksytään luettelo käsittelytoimista silloin kun rekisterinpitäjät edellyttävät Euroopan tietosuojavaltuutetun ennakkokuulemista yleistä etua koskevan tehtävän suorittamiseksi ja kun hyväksytään vakiosopimuslausekkeita asianmukaisista suojatoimista kansainvälisiä siirtoja varten.

(72)Luottamukselliset tiedot, joita unionin ja kansalliset tilastoviranomaiset keräävät virallisten eurooppalaisten ja kansallisten tilastojen laatimiseksi, olisi suojattava. Euroopan tilastoja olisi kehitettävä, laadittava ja levitettävä SEUT-sopimuksen 338 artiklan 2 kohdassa vahvistettujen tilastollisten periaatteiden mukaisesti. Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 223/2009 17 annetaan yksityiskohtaisempi selvitys eurooppalaisia tilastoja koskevan tilastosalaisuuden suojaamisesta.

(73)Olisi kumottava asetus (EY) N:o 45/2001 ja päätös N:o 1247/2002/EY. Viittauksia kumottuihin asetukseen ja päätökseen olisi pidettävä viittauksina tähän asetukseen.

(74)Riippumattoman valvontaviranomaisen jäsenten täysimääräisen riippumattomuuden turvaamiseksi tämä asetus ei vaikuta nykyisen Euroopan tietosuojavaltuutetun ja nykyisen apulaistietosuojavaltuutetun toimikauteen. Nykyisen apulaistietosuojavaltuutetun olisi pysyttävä toimessaan toimikautensa loppuun, ellei jokin tässä asetuksessa säädetty Euroopan tietosuojavaltuutetun toimikauden ennenaikaista päättymistä koskeva edellytys täyty. Tämän asetuksen säännöksiä olisi sovellettava apulaistietosuojavaltuutettuun hänen toimikautensa päättymiseen saakka.

(75)Suhteellisuusperiaatteen mukaisesti on tarpeen ja aiheellista vahvistaa säännöt henkilötietojen käsittelystä unionin toimielimissä ja elimissä perustavoitteen saavuttamiseksi eli varmistaa luonnollisten henkilöiden yhdenmukainen suojelu ja henkilötietojen vapaa liikkuvuus kaikkialla unionissa. Tässä asetuksessa ei Euroopan unionista tehdyn sopimuksen 5 artiklan 4 kohdan mukaisesti ylitetä sitä, mikä on tarpeen aiottujen tavoitteiden saavuttamiseksi.

(76)Euroopan tietosuojavaltuutettua on kuultu asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti, ja hän on antanut lausunnon XX/XX/XXXX,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

LUKU 1

YLEISET SÄÄNNÖKSET

1 artikla

Kohde ja tavoitteet

1.Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä sekä säännöt henkilötietojen vapaasta liikkuvuudesta kyseisten elinten välillä tai niille unioniin sijoittautuneille vastaanottajille, joihin sovelletaan asetusta (EU) 2016/679 18 tai direktiivin (EU) 2016/680 19 nojalla annettuja kansallisia säännöksiä.

2.Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

3.Euroopan tietosuojavaltuutettu valvoo tämän asetuksen säännösten soveltamista kaikkiin jonkin unionin toimielimen tai elimen suorittamiin käsittelytoimiin.

2 artikla

Soveltamisala

1.Tätä asetusta sovelletaan kaikkien unionin toimielinten ja elinten suorittamaan henkilötietojen käsittelyyn silloin, kun käsittely suoritetaan unionin oikeuden soveltamisalaan kokonaan tai osittain kuuluvien toimien toteuttamiseksi.

2.Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka suoritetaan kokonaan tai osittain automaattisesti, sekä sellaisten henkilötietojen muuhun kuin automaattiseen käsittelyyn, jotka muodostavat rekisteröintijärjestelmän osan tai joiden on tarkoitus muodostaa rekisteröintijärjestelmän osa.

3 artikla

Määritelmät

1.Tässä asetuksessa sovelletaan seuraavia määritelmiä:

a)asetuksen (EU) 2016/679 määritelmät, lukuun ottamatta kyseisen asetuksen 4 artiklan 7 alakohdassa olevaa ’rekisterinpitäjän’ määritelmää;

b)asetuksen (EU) XX/XXXX [sähköisen viestinnän tietosuoja-asetus] 4 artiklan 2 kohdan a alakohdassa oleva ’sähköisen viestinnän’ määritelmä;

c)direktiivin 00/0000/EU [direktiivi eurooppalaisesta sähköisen viestinnän säännöstöstä] 2 artiklan 1 alakohdassa oleva ’sähköisen viestintäverkon’ ja kyseisen artiklan 14 alakohdassa oleva ’loppukäyttäjän’ määritelmä;

d)direktiivin 2008/63/EY 20 1 artiklan 1 alakohdassa oleva ’päätelaitteen’ määritelmä.

2.Lisäksi tässä asetuksessa tarkoitetaan

a)’unionin toimielimillä ja elimillä’ unionin toimielimiä, elimiä ja laitoksia, jotka on perustettu Euroopan unionista tehdyllä sopimuksella, Euroopan unionin toiminnasta tehdyllä sopimuksella tai Euroopan atomienergiayhteisön perustamissopimuksella tai niiden perusteella;

b)’rekisterinpitäjällä’ unionin toimielintä, elintä, laitosta tai pääosastoa tai muuta organisatorista kokonaisuutta, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos käsittelyn tarkoitukset ja keinot määritellään erityisellä unionin säädöksellä, rekisterinpitäjästä tai tämän nimittämistä koskevista erityisistä perusteista voidaan säätää unionin lainsäädännössä;

c)’käyttäjällä’ luonnollisia henkilöitä, jotka käyttävät unionin toimielimen tai elimen valvonnassa toimivaa verkkoa tai päätelaitetta;

d)’luettelolla’ yleisesti saatavilla olevaa käyttäjäluetteloa tai sisäistä käyttäjäluetteloa, joka on saatavilla unionin toimielimessä tai elimessä tai joka on unionin toimielinten ja elinten yhteinen ja joka on joko painetussa tai sähköisessä muodossa.

II LUKU

PERIAATTEET

4 artikla

Henkilötietojen käsittelyä koskevat periaatteet

1.Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”);

b)ne on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa myöhemmin käsitellä tämän tarkoituksen kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 13 artiklan mukaisesti yhteensopimattomaksi alkuperäisen tarkoituksen kanssa (”käyttötarkoitussidonnaisuus”);

c)henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa tarkoitukseen, jota varten niitä käsitellään (”tietojen minimointi”);

d)henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että siihen tarkoitukseen nähden virheelliset tai puutteelliset tiedot, jota varten tiedot kerättiin tai jota varten niitä myöhemmin käsitellään, poistetaan tai oikaistaan viipymättä (”täsmällisyys”);

e)ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 13 artiklan kohdan mukaisesti edellyttäen, että tässä asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on toteutettu rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (”säilytyksen rajoittaminen”);

f)niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).

2.Rekisterinpitäjä vastaa 1 kohdan noudattamisesta, ja sen on pystyttävä osoittamaan, että kyseistä kohtaa on noudatettu (”osoitusvelvollisuus”).

5 artikla

Käsittelyn lainmukaisuus

1.Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi unionin toimielimelle tai elimelle kuuluvan julkisen vallan perusteella tai sitä käyttäen;

b)käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

c)käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

d)rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

e)käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi.

2.Edellä 1 kohdan a alakohdassa tarkoitetut tehtävät vahvistetaan unionin lainsäädännössä.

6 artikla

Käsittely toista yhteensopivaa tarkoitusta varten

Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 25 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:

a)henkilötietojen keruun tarkoituksen ja aiotun myöhemmän käsittelyn tarkoituksen väliset yhteydet;

b)henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta;

c)henkilötietojen luonne erityisesti siltä osin, käsitelläänkö erityisiä henkilötietojen ryhmiä 10 artiklan mukaisesti tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja 11 artiklan mukaisesti;

d)aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille;

e)asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin, olemassaolo.

7 artikla

Suostumuksen edellytykset

1.Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn.

2.Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova.

3.Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Rekisteröidylle on ilmoitettava tästä ennen kuin hän antaa suostumuksensa. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.

4.Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

8 artikla

Tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot

1.Kun 5 artiklan 1 kohdan d alakohtaa sovelletaan tietoyhteiskunnan palvelujen tarjoamiseen suoraan lapselle, lapsen henkilötietojen käsittelyn katsotaan olevan lainmukaista, jos lapsi on vähintään 13-vuotias. Jos lapsi on alle 13 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.

2.Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen tällaisissa tapauksissa, että lapsen vanhempainvastuunkantaja on antanut suostumuksen tai valtuutuksen, käytettävissä oleva teknologia huomioon ottaen.

3.Edellä oleva 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen, kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.

9 artikla

Henkilötietojen siirrot vastaanottajille, jotka eivät ole unionin toimielimiä ja elimiä ja jotka ovat sijoittautuneet unioniin ja joihin sovelletaan asetusta (EU) 2016/679 tai direktiiviä (EU) 2016/680

1.Rajoittamatta tämän asetuksen 4, 5, 6 ja 10 artiklan soveltamista henkilötietoja saa siirtää ainoastaan vastaanottajille, jotka ovat sijoittautuneet unioniin ja joihin sovelletaan asetusta (EU) 2016/679 tai direktiivin (EU) 2016/680 nojalla annettuja kansallisia säännöksiä, jos vastaanottaja osoittaa:

a)että tiedot ovat tarpeen yleistä etua koskevan tai julkisen vallan käyttämistä edellyttävän tehtävän suorittamiseksi, tai

b)että tietojen siirtäminen on välttämätöntä, että siirtäminen on oikeassa suhteessa tarkoituksiinsa nähden, eikä ole syytä olettaa, että rekisteröidyn oikeuksia, vapauksia ja oikeutettuja etuja saatettaisiin loukata.

2.Jos tietojen siirtäminen tämän artiklan nojalla tapahtuu rekisterinpitäjän aloitteesta, tämän on osoitettava, että henkilötietojen siirtäminen on tarpeen ja oikeassa suhteessa tarkoituksiinsa nähden, soveltamalla 1 kohdan a tai b alakohdassa vahvistettuja kriteerejä.

10 artikla

Erityisiä henkilötietoryhmiä koskeva käsittely

1.Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

2.Edellä olevaa 1 kohtaa ei sovelleta, jos yksi seuraavista edellytyksistä täyttyy:

a)rekisteröity on antanut nimenomaisen suostumuksensa kyseisten tietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella; tai

b)käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista; tai

c)käsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

d)käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän voittoa tavoittelemattoman, unionin toimielimeen tai elimeen integroidun yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan tämän yhteisön jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöön säännölliset, yhteisön tarkoituksiin liittyvät yhteydet, ja että tietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;

e)käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;

f)käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun Euroopan unionin tuomioistuin suorittaa lainkäyttötehtäviään; tai

g)käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;

h)käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollon tai hoidon tarjoamista varten taikka terveys- tai sosiaalihuollon järjestelmien ja palvelujen hallintoa varten unionin oikeuden perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;

i)käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi, asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi annetun unionin lainsäädännön perusteella;

j)käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten unionin oikeuden nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

3.Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden perusteella.

11 artikla

Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely

Rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 5 artiklan 1 kohdan perusteella voidaan suorittaa vain silloin, kun se sallitaan unionin oikeudessa, johon voi kuulua sisäisiä sääntöjä ja jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.

12 artikla

Käsittely, joka ei edellytä tunnistamista

1.Jos tarkoitus, jota varten rekisterinpitäjä käsittelee henkilötietoja, ei edellytä tai ei enää edellytä, että rekisterinpitäjä tunnistaa rekisteröidyn, rekisterinpitäjällä ei ole velvollisuutta säilyttää, hankkia tai käsitellä lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain tämän asetuksen noudattamiseksi.

2.Jos tämän artiklan 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä pystyy osoittamaan, ettei se pysty tunnistamaan rekisteröityä, rekisterinpitäjän on ilmoitettava asiasta rekisteröidylle, jos tämä on mahdollista. Tällaisissa tapauksissa 17–22 artiklaa ei sovelleta, paitsi jos rekisteröity näiden artikloiden mukaisia oikeuksiaan käyttääkseen antaa lisätietoja, joiden avulla hänet voidaan tunnistaa.

13 artikla

Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat suojatoimet

Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaan käsittelyyn sovelletaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tämän asetuksen mukaisesti. Näillä suojatoimilla on varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen. Tällainen toimenpide voi olla esimerkiksi pseudonymisointi, jos mainitut tarkoitukset voidaan täyttää tällä tavoin. Jos kyseiset tarkoitukset on mahdollista täyttää käsittelemällä myöhemmin tietoja, minkä johdosta ei ole mahdollista tai ei ole enää mahdollista tunnistaa rekisteröityjä, ne on täytettävä tällä tavoin.

III LUKU

REKISTERÖIDYN OIKEUDET

1 JAKSO

LÄPINÄKYVYYS JA SITÄ KOSKEVAT YKSITYISKOHTAISET SÄÄNNÖT

14 artikla

Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

1.Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15 ja 16 artiklan mukaiset tiedot ja 17–24 artiklan ja kaikki 38 artiklan mukaiset käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin, tarvittaessa sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

2.Rekisterinpitäjän on helpotettava 17–24 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Edellä 12 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 17–24 artiklan mukaisten oikeuksien käyttämiseksi ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.

3.Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 17–24 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava mahdollisuuksien mukaan sähköisesti, paitsi jos rekisteröity toisin pyytää.

4.Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus Euroopan tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja.

5.Jäljempänä olevan 15 ja 16 artiklan nojalla toimitetut tiedot ja kaikki 17–24 ja 38 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi kieltäytyä suorittamasta pyydettyä toimea.

Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

6.Jos rekisterinpitäjällä on perusteltua syytä epäillä 17–23 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.

7.Jäljempänä 15 ja 16 artiklassa tarkoitetut tiedot voidaan antaa rekisteröidyille yhdistettynä vakiomuotoisiin kuvakkeisiin, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden on oltava koneellisesti luettavissa.

8.Jos komissio antaa delegoituja säädöksiä asetuksen (EU) 2016/679 12 artiklan 8 kohdan mukaisesti, jotta voidaan määrittää kuvakkeilla annettavat tiedot ja menettelyt, joilla vakiomuotoisia kuvakkeita tarjotaan käyttöön, unionin toimielinten ja elinten on tarvittaessa annettava 15 ja 16 artiklassa tarkoitetut tiedot yhdistettynä vakiomuotoisiin kuvakkeisiin.

2 JAKSO

ILMOITTAMINEN JA PÄÄSY HENKILÖTIETOIHIN

15 artikla

Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä

1.Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:

a)rekisterinpitäjän henkilöllisyys ja yhteystiedot;

b)tietosuojavastaavan yhteystiedot;

c)henkilötietojen käsittelyn tarkoitus sekä käsittelyn oikeusperuste;

d)mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät;

e)tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 49 artiklassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

2.Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

a)henkilötietojen säilytysaika, tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

b)rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai tarvittaessa vastustaa käsittelyä tai oikeus siirtää tiedot järjestelmästä toiseen;

c)oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 5 artiklan 1 kohdan d alakohtaan tai 10 artiklan 2 kohdan a alakohtaan;

d)oikeus tehdä valitus Euroopan tietosuojavaltuutetulle;

e)onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset;

f)automaattisen päätöksenteon, muun muassa 24 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle;

3.Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

4.Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröity on jo saanut tiedot.

16 artikla

Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä

1.Kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot:

a)rekisterinpitäjän henkilöllisyys ja yhteystiedot;

b)tietosuojavastaavan yhteystiedot;

c)henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;

d)kyseessä olevat henkilötietoryhmät;

e)mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät;

f)tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 49 artiklassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

2.Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

a)henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

d)oikeus tehdä valitus Euroopan tietosuojavaltuutetulle;

e)mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä;

3.Rekisterinpitäjän on toimitettava 1 ja 2 kohdassa tarkoitetut tiedot:

a)kohtuullisen ajan kuluessa mutta viimeistään kuukauden kuluttua henkilötietojen saamisesta ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet;

b)jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran; tai

c)jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.

4.Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon ne kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

5.Edellä olevaa 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin

a)rekisteröity on jo saanut tiedot;

b)kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä ja historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten tai niiltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää kyseisten yleisen edun mukaisten arkistointitarkoitusten tai tieteellisten ja historiallisten tutkimustarkoitusten taikka tilastollisten tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti;

c)tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti unionin oikeudessa; tai

d)tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen perustuva vaitiolovelvollisuus.

17 artikla

Rekisteröidyn oikeus saada pääsy tietoihin

1.Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:

a)käsittelyn tarkoitus;

b)kyseessä olevat henkilötietoryhmät;

c)vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;

d)mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e)rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;

f)oikeus tehdä valitus Euroopan tietosuojavaltuutetulle;

g)jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot;

h)automaattisen päätöksenteon, muun muassa 24 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

2.Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada ilmoitus 49 artiklassa tarkoitetuista siirtoa koskevista asianmukaisista suojatoimista.

3.Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

4.Oikeus saada 3 kohdassa tarkoitettu jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

3 JAKSO

TIETOJEN OIKAISEMINEN JA POISTAMINEN

18 artikla

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Käsittelyn tarkoitus huomioon ottaen rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä esimerkiksi siten, että hänelle toimitetaan lisäselvitys.

19 artikla

Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

1.Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:

a)henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

b)rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 5 artiklan 1 kohdan d alakohdan tai 10 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta;

c)rekisteröity vastustaa käsittelyä 23 artiklan 1 kohdan nojalla eikä käsittelyyn ole olemassa perusteltua syytä;

d)henkilötietoja on käsitelty lainvastaisesti;

e)henkilötiedot on poistettava rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;

f)henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

2.Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

3.Edellä olevaa 1 ja 2 kohtaa ei sovelleta, jos käsittely on tarpeen

a)sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;

b)rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi tai yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi;

c)kansanterveyteen liittyvää yleistä etua koskevista syistä 10 artiklan 2 kohdan h ja i alakohdan sekä 10 artiklan 3 kohdan mukaisesti;

d)yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, jos 1 kohdassa tarkoitettu oikeus todennäköisesti estää kyseisen käsittelyn tavoitteiden saavuttamisen tai vaikeuttaa sitä suuresti; tai

e)oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

20 artikla

Oikeus käsittelyn rajoittamiseen

1.Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos yksi seuraavista edellytyksistä täyttyy:

a)rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden, mukaan lukien niiden täydellisyys;

b)käsittely on lainvastaista, ja rekisteröity vastustaa tietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;

c)rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

d)rekisteröity on vastustanut henkilötietojen käsittelyä 23 artiklan 1 kohdan nojalla siihen asti kun on tarkistettu, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

2.Jos käsittelyä on rajoitettu 1 kohdan nojalla, näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tahi toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.

3.Jos rekisteröity on saanut käsittelyn rajoitetuksi 1 kohdan nojalla, rekisterinpitäjän on tehtävä rekisteröidylle ilmoitus, ennen kuin käsittelyä koskeva rajoitus poistetaan.

4.Automatisoiduissa rekistereissä henkilötietojen käsittelyn rajoittaminen on lähtökohtaisesti varmistettava teknisin keinoin. Henkilötietojen rajoittaminen on ilmaistava järjestelmässä siten, että käy selvästi ilmi, ettei henkilötietoja voida käyttää.

21 artikla

Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus

Rekisterinpitäjän on ilmoitettava kaikenlaisista 18 artiklan, 19 artiklan 1 kohdan ja 20 artiklan mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.

22 artikla

Oikeus siirtää tiedot järjestelmästä toiseen

1.Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos

a)käsittely perustuu suostumukseen 5 artiklan 1 kohdan d alakohdan tai 10 artiklan 2 kohdan a alakohdan nojalla tai sopimukseen 5 artiklan 1 kohdan c alakohdan nojalla; ja

b)käsittely suoritetaan automaattisesti.

2.Kun rekisteröity käyttää 1 kohdan mukaista oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

3.Tämän artiklan 1 kohdassa tarkoitetun oikeuden käyttäminen ei kuitenkaan saa rajoittaa 19 artiklan soveltamista. Tätä oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttöä edellyttävän tehtävän suorittamiseksi.

4.Edellä 1 kohdassa tarkoitettu oikeus ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

4 JAKSO

OIKEUS VASTUSTAA HENKILÖTIETOJEN KÄSITTELYÄ JA AUTOMAATTISESTI TEHTÄVÄT YKSITTÄISPÄÄTÖKSET

23 artikla

Vastustamisoikeus

1.Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 5 artiklan 1 kohdan a alakohtaan, kuten kyseiseen säännökseen perustuvaa profilointia. Tällöin rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

2.Viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 1 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

3.Tietoyhteiskunnan palvelujen käyttämisen yhteydessä rekisteröity voi käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen, sanotun kuitenkaan rajoittamatta 34 ja 35 artiklan soveltamista.

4.Jos henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, rekisteröidyllä on oikeus henkilökohtaiseen tilanteeseensa liittyvällä perusteella vastustaa häntä itseään koskevien henkilötietojen käsittelyä, paitsi jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

24 artikla

Automatisoidut yksittäispäätökset, profilointi mukaan luettuna

1.Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

2.Edellä olevaa 1 kohtaa ei sovelleta, jos päätös

a)on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten;

b)on hyväksytty unionin oikeudessa, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tai

c)perustuu rekisteröidyn nimenomaiseen suostumukseen.

3.Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös.

4.Edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua 10 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 10 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

5 JAKSO

RAJOITUKSET

25 artikla

Rajoitukset

1.Perussopimusten nojalla annetuissa säädöksissä tai asioissa, jotka liittyvät toimielinten ja elinten toimintaan, voidaan näiden elinten vahvistamissa sisäisissä säännöissä rajoittaa 14–22 artiklan, 34 ja 38 artiklan sekä 4 artiklan, siltä osin kuin sen säännökset vastaavat 14–22 säädettyjä oikeuksia ja velvollisuuksia, soveltamista, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata

a)jäsenvaltioiden kansallinen turvallisuus, yleinen turvallisuus ja puolustus;

b)rikosten ehkäiseminen, tutkinta, paljastaminen ja rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäiseminen;

c)muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoitusta koskeva etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva;

d)unionin toimielinten ja elinten sisäinen turvallisuus, mukaan lukien niiden sähköisen viestinnän verkot;

e)oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu;

f)säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytteeseenpano;

g)valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–c alakohdassa tarkoitetuissa tapauksissa;

h)rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet;

i)yksityisoikeudellisten kanteiden täytäntöönpano.

2.Jos rajoituksesta ei säädetä perussopimusten nojalla annetussa säädöksessä tai sisäisessä säännössä 1 kohdan mukaisesti, unionin toimielimet ja elimet voivat rajoittaa 14–22 artiklan, 34 ja 38 artiklan sekä 4 artiklan, siltä osin kuin sen säännökset vastaavat 14–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, soveltamista, jos kyseisessä rajoituksessa noudatetaan tietyn käsittelytoimen osalta keskeisiltä osin perusoikeuksia ja vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata yksi tai useampi 1 kohdassa tarkoitettu tavoite. Rajoituksesta on ilmoitettava toimivaltaiselle tietosuojavastaavalle.

3.Kun henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, unionin oikeudessa, johon voi sisältyä sisäisiä sääntöjä, voidaan säätää poikkeuksista 17, 18, 20 ja 23 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan 13 artiklassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

4.Kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia varten, unionin oikeudessa, johon voi sisältyä sisäisiä sääntöjä, voidaan säätää poikkeuksista 17, 18, 20, 21, 22 ja 23 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan 13 artiklassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

5.Edellä 1, 3 ja 4 kohdassa tarkoitettujen sisäisten sääntöjen on oltava riittävän selkeitä ja täsmällisiä, ja ne on julkaistava asianmukaisesti.

6.Jos jotain 1 tai 2 kohdassa säädettyä rajoitusta sovelletaan, rekisteröidylle on ilmoitettava unionin oikeuden mukaisesti pääasialliset syyt rajoituksen soveltamiseen, sekä se, että hänellä on oikeus tehdä valitus Euroopan tietosuojavaltuutetulle.

7.Jos johonkin 1 tai 2 kohdassa säädettyyn rajoitukseen vedotaan tiedonsaantioikeuden epäämiseksi rekisteröidyltä, Euroopan tietosuojavaltuutettu ilmoittaa hänelle valitusta tutkiessaan ainoastaan, onko tietojenkäsittely suoritettu moitteettomasti ja, jos näin ei ole, onko tarpeelliset oikaisut tehty.

8.Edellä 6 ja 7 kohdassa sekä 46 artiklan 2 kohdassa tarkoitettua ilmoittamista voidaan lykätä tai se voidaan jättää tekemättä tai se voidaan evätä, jos se poistaisi 1 tai 2 kohdassa säädetyn rajoituksen vaikutuksen.

IV LUKU

REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ

1 JAKSO

YLEISET VELVOITTEET

26 artikla

Rekisterinpitäjän vastuu

1.Rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta, ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitus sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

2.Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.

27 artikla

Sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja

1.Rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin, ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoituksen sekä luonnollisten henkilöiden oikeuksille ja vapauksille käsittelystä aiheutuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.

2.Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

28 artikla

Yhteisrekisterinpitäjät

1.Jos unionin toimielin tai elin yhdessä yhden tai useamman rekisterinpitäjän, joka voi olla unionin toimielin tai elin tai jokin muu rekisterinpitäjä, määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät vastuualueensa keskinäisellä järjestelyllä läpinäkyvällä tavalla tietosuojaa koskevien velvoitteidensa noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 15 ja 16 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjien vastuualueet määritellään rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.

2.Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.

3.Rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa yhteen tai useampaan yhteiseen rekisterinpitäjään, ottaen huomioon niiden tehtävät sellaisina kuin ne on määritelty edellä 1 kohdassa tarkoitetun järjestelyn ehdoissa.

29 artikla

Henkilötietojen käsittelijä

1.Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2.Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

3.Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä

a)käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;

b)varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

c)toteuttaa kaikki 33 artiklassa vaaditut toimenpiteet;

d)noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä;

e)auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä, ottaen huomioon käsittelyn luonteen;

f)auttaa rekisterinpitäjää varmistamaan, että 33–40 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;

g)rekisterinpitäjän valinnan mukaan käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä poistaa kaikki henkilötiedot tai palauttaa ne rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;

h)saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä.

4.Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa, ja antaa erityisesti riittävät takeet siitä, että käsittelyyn liittyvät asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Jos kyseinen toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

5.Kun henkilötietojen käsittelijä ei ole unionin toimielin tai elin, sitä, että se noudattaa asetuksen (EU) 2016/679 40 artiklan 5 kohdassa tarkoitettuja hyväksyttyjä käytännesääntöjä tai kyseisen asetuksen 42 artiklassa tarkoitettua hyväksyttyä sertifiointimekanismia, voidaan käyttää yhtenä osoituksena siitä, että tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet on annettu.

6.Sanotun rajoittamatta rekisterinpitäjän ja henkilötietojen käsittelijän mahdollista yksittäistä sopimusta, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain tämän artiklan 7 ja 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; tämä koskee myös tilannetta, jossa ne ovat osa sellaiselle henkilötietojen käsittelijälle asetuksen (EU) 2016/679 42 artiklan mukaisesti myönnettyä sertifiointia, joka ei ole unionin toimielin tai elin.

7.Komissio voi laatia vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 70 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

8.Euroopan tietosuojavaltuutettu voi hyväksyä vakiosopimuslausekkeita 3 ja 4 kohdassa tarkoitettuja seikkoja varten.

9.Edellä 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja on laadittava kirjallisesti, myös sähköisessä muodossa.

10.Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 65 ja 66 artiklan soveltamista.

30 artikla

Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa

Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.

31 artikla

Seloste käsittelytoimista

1.Jokaisen rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot:

a)rekisterinpitäjän, tietosuojavastaavan sekä mahdollisen tietojen käsittelijän ja yhteisrekisterinpitäjän nimi ja yhteystiedot;

b)käsittelyn tarkoitus;

c)kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;

d)henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien jäsenvaltioissa, kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;

e)tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat;

f)mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat;

g)mahdollisuuksien mukaan yleinen kuvaus 33 artiklassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

2.Kunkin henkilötietojen käsittelijän on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot:

a)henkilötietojen käsittelijän tai useamman käsittelijän ja kunkin rekisterinpitäjän, jonka lukuun käsittelijä toimii, sekä tietosuojavastaavan nimi ja yhteystiedot;

b)kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät;

c)tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat;

d)mahdollisuuksien mukaan yleinen kuvaus 33 artiklassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

3.Edellä 1 ja 2 kohdassa tarkoitettu seloste on laadittava kirjallisesti, myös sähköisessä muodossa.

4.Unionin toimielinten ja elinten on pyydettäessä toimitettava seloste Euroopan tietosuojavaltuutetulle.

5.Unionin toimielimet ja elimet voivat päättää, että niiden tietojen käsittelyä koskevat selosteet säilytetään keskusrekisterissä. Tässä tapauksessa ne voivat myös päättää, että rekisteri asetetaan julkisesti saataville.

32 artikla

Yhteistyö Euroopan tietosuojavaltuutetun kanssa

Unionin toimielinten ja elinten on tehtävä yhteistyötä Euroopan tietosuojavaltuutetun kanssa tämän hoitaessa tehtäviään.

2 JAKSO

HENKILÖTIETOJEN TURVALLISUUS JA SÄHKÖISEN VIESTINNÄN LUOTTAMUKSELLISUUS

33 artikla

Käsittelyn turvallisuus

1.Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitus sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

a)henkilötietojen pseudonymisointi ja salaus;

b)kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c)kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

d)menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

2.Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä erityistä huomiota käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

3.Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa toisin vaadita.

34 artikla

Sähköisen viestinnän luottamuksellisuus

Unionin toimielinten ja elinten on varmistettava sähköisen viestinnän luottamuksellisuus, erityisesti suojaamalla sähköisen viestinnän verkkonsa.

35 artikla

Loppukäyttäjien päätelaitteisiin liittyvien tietojen suojaaminen

Unionin toimielinten ja elinten on suojattava yleisesti saatavilla olevia verkkosivustojaan ja mobiilisovelluksiaan käyttävien loppukäyttäjien päätelaitteisiin liittyvät tiedot asetuksen (EU) N:o XX/XXXX [uusi sähköisen viestinnän tietosuoja-asetus] ja erityisesti sen 8 artiklan mukaisesti.

36 artikla

Käyttäjäluettelot

1.Käyttäjäluetteloissa olevat henkilötiedot sekä pääsy näihin luetteloihin on rajoitettava siihen, mikä on välttämätöntä luettelolle ominaisten tarkoitusten kannalta.

2.Unionin toimielimet ja elimet toteuttavat kaikki tarvittavat toimenpiteet estääkseen näiden luetteloiden sisältämien henkilötietojen käytön suoramarkkinointitarkoituksiin riippumatta siitä, ovatko luettelot yleisön saatavilla.

37 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen Euroopan tietosuojavaltuutetulle

1.Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta Euroopan tietosuojavaltuutetulle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava Euroopan tietosuojavaltuutetulle perusteltu selitys.

2.Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

3.Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

b)ilmoitettava tietosuojavastaavan nimi ja yhteystiedot;

c)kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d)kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

4.Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

5.Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle henkilötietojen tietoturvaloukkauksesta.

6.Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Euroopan tietosuojavaltuutetun on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

38 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

1.Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

2.Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja mainittava ainakin 37 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.

3.Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

a)rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti henkilötietojen muuttamista muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;

b)rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu;

c)ilmoittaminen vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

4.Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, Euroopan tietosuojavaltuutettu voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

3 JAKSO

TIETOSUOJAA KOSKEVA VAIKUTUSTENARVIOINTI JA ENNAKKOKUULEMINEN

39 artikla

Tietosuojaa koskeva vaikutustenarviointi

1.Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.

2.Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta.

3.Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti seuraavista:

a)luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi;

b)laajamittainen käsittely, joka kohdistuu 10 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 11 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin; tai

c)yleisölle avoimen alueen laajamittainen, järjestelmällinen valvonta.

4.Euroopan tietosuojavaltuutetun on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi.

5.Euroopan tietosuojavaltuutettu voi myös laatia ja julkaista luettelon käsittelytoimien tyypeistä, joiden osalta ei vaadita tietosuojaa koskevaa vaikutustenarviointia.

6.Arvioinnin on sisällettävä vähintään:

a)järjestelmällinen kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksesta;

b)arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;

c)arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja

d)suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

7.Se, missä määrin asianomaiset henkilötietojen käsittelijät, jotka ovat muita kuin unionin toimielimiä ja elimiä, noudattavat asetuksen (EU) 2016/679 40 artiklassa tarkoitettuja hyväksyttyjä käytännesääntöjä, otetaan asianmukaisesti huomioon arvioitaessa kyseisten henkilötietojen käsittelijöiden suorittamien käsittelytoimien vaikutusta erityisesti tietosuojaa koskevassa vaikutustenarvioinnissa.

8.Rekisterinpitäjän on tarvittaessa pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että tämä saa vaikuttaa yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.

9.Jos 5 artiklan 1 kohdan a tai b alakohdan mukaisen käsittelyn oikeusperusteena on perussopimusten perusteella annettu säädös, joka säätelee siihen liittyvää käsittelytointa tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana kyseisen säädöksen antamisen yhteydessä, 1–6 kohtaa ei sovelleta, ellei unionin oikeudessa säädetä toisin.

10.Rekisterinpitäjän on tehtävä tarvittaessa uudelleentarkastelu arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu.

40 artikla

Ennakkokuuleminen

1.Rekisterinpitäjän on kuultava Euroopan tietosuojavaltuutettua ennen tietojen käsittelyä, jos 39 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelyyn liittyisi riskin lieventämistä koskevien suojatoimien, suojaustoimenpiteiden ja -keinojen puuttumisen vuoksi suuri luonnollisten henkilöiden oikeuksiin ja vapauksiin vaikuttava riski, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein vähentää, kun otetaan huomioon saatavilla oleva tekniikka ja toteuttamiskustannukset. Rekisterinpitäjän on pyydettävä tietosuojavastaavalta neuvoja ennakkokuulemisen tarpeesta.

2.Jos Euroopan tietosuojavaltuutettu katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai pienentänyt riskiä, Euroopan tietosuojavaltuutetun on enintään kahdeksan viikon kuluessa kuulemispyynnöstä annettava kirjallisesti ohjeet rekisterinpitäjälle tai tapauksen mukaan henkilötietojen käsittelijälle, ja se voi käyttää 59 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Jos sovelletaan jatkettua määräaikaa, Euroopan tietosuojavaltuutetun on ilmoitettava rekisterinpitäjälle ja tarvittaessa henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa pyynnön vastaanottamisesta. Näitä määräaikoja voidaan pidentää, kunnes Euroopan tietosuojavaltuutettu on saanut tiedot, joita se on mahdollisesti pyytänyt kuulemista varten.

3.Kuulleessaan Euroopan tietosuojavaltuutettua 1 kohdan mukaisesti rekisterinpitäjän on toimitettava tälle

a)tarvittaessa rekisterinpitäjän, yhteisrekisterinpitäjien ja käsittelyyn osallistuvien henkilötietojen käsittelijöiden vastuualueet;

b)suunnitellun käsittelyn tarkoitus ja keinot;

c)toimenpiteet ja toteutetut suojatoimet rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi tämän asetuksen nojalla;

d)tietosuojavastaavan yhteystiedot;

e)edellä 39 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi; ja

f)muut Euroopan tietosuojavaltuutetun pyytämät tiedot.

4.Komissio voi täytäntöönpanosäädöksellä määrittää luettelon tapauksista, joissa rekisterinpitäjän on kuultava Euroopan tietosuojavaltuutettua ja saatava tältä ennakkolupa henkilötietojen käsittelylle, jonka rekisterinpitäjä suorittaa yleistä etua koskevan tehtävänsä suorittamiseksi, mukaan lukien käsittely sosiaaliturvan ja kansanterveyden alalla.

4 JAKSO

TIEDOTTAMINEN JA LAINSÄÄDÄNTÖÄ KOSKEVA KUULEMINEN

41 artikla

Tiedottaminen

Unionin toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle suunnittelemistaan henkilötietojen käsittelyä koskevista hallinnollisista toimenpiteistä ja sisäisistä säännöistä, jos käsittelyyn osallistuu unionin toimielin tai elin yksin tai yhdessä muiden kanssa.

42 artikla

Lainsäädäntöä koskeva kuuleminen

1.Sen jälkeen kun SEUT-sopimuksen 218 artiklan mukainen ehdotus lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi ja suositukset tai ehdotukset neuvostolle on hyväksytty ja laatiessaan yksilöiden oikeuksien ja vapauksien suojeluun henkilötietojen käsittelyssä vaikuttavia delegoituja säädöksiä tai täytäntöönpanosäädöksiä komissio kuulee Euroopan tietosuojavaltuutettua.

2.Jos 1 kohdassa tarkoitettu säädös on erityisen tärkeä yksilöiden oikeuksien ja vapauksien suojelemiseksi henkilötietojen käsittelyn osalta, komissio voi myös kuulla Euroopan tietosuojaneuvostoa. Tällöin Euroopan tietosuojavaltuutetun ja Euroopan tietosuojaneuvoston on koordinoitava toimensa yhteisen lausunnon antamiseksi.

3.Edellä 1 ja 2 kohdassa tarkoitetut lausunnot on annettava kirjallisesti määräajassa, joka on enintään kahdeksan viikkoa 1 ja 2 kohdassa tarkoitetun kuulemispyynnön vastaanottamisesta. Kiireellisissä tapauksissa tai muuten tarvittaessa komissio voi lyhentää määräaikaa.

4.Tätä artiklaa ei sovelleta silloin, kun komission on asetuksen (EU) 2016/679 nojalla kuultava Euroopan tietosuojaneuvostoa.

5 JAKSO

VELVOLLISUUS VASTATA VÄITTEISIIN

43 artikla

Velvollisuus vastata väitteisiin

Kun Euroopan tietosuojavaltuutettu käyttää 59 artiklan 2 kohdan a, b ja c alakohdassa tarkoitettuja toimivaltuuksiaan, asianomaisen rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava Euroopan tietosuojavaltuutetulle näkemyksensä tämän asettamassa kohtuullisessa määräajassa, ottaen huomioon kuhunkin tapaukseen liittyvät olosuhteet. Annettavan lausunnon on sisällettävä myös kuvaus mahdollisista toimenpiteistä, jotka on tarvittaessa toteutettu Euroopan tietosuojavaltuutetun huomautusten johdosta.

6 JAKSO

TIETOSUOJAVASTAAVA

44 artikla

Tietosuojavastaavan nimittäminen

1.Kunkin unionin toimielimen tai elimen on nimitettävä tietosuojavastaava.

2.Unionin toimielimet ja elimet voivat nimittää yhteisen tietosuojavastaavan useammalle tällaiselle toimielimelle tai elimelle niiden organisaatiorakenne ja koko huomioon ottaen.

3.Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 46 artiklassa tarkoitetut tehtävät.

4.Tietosuojavastaava voi olla unionin toimielimen tai elimen henkilöstön jäsen tai hän voi hoitaa tehtäviään palvelusopimuksen perusteella.

5.Unionin toimielinten ja elinten on julkaistava tietosuojavastaavan yhteystiedot ja ilmoitettava ne Euroopan tietosuojavaltuutetulle.

45 artikla

Tietosuojavastaavan asema

1.Unionin toimielinten ja elinten on varmistettava, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2.Unionin toimielinten ja elinten on tuettava tietosuojavastaavaa hänen suorittaessaan 46 artiklassa tarkoitettuja tehtäviä antamalla hänelle resurssit, jotka ovat tarpeen näiden tehtävien täyttämiseksi, samoin kuin pääsyn henkilötietoihin ja käsittelytoimiin, sekä hänen asiantuntemuksensa ylläpitämiseksi.

3.Unionin toimielinten ja elinten on varmistettava, ettei tietosuojavastaava ota vastaan ohjeita tehtäviensä hoitamisen yhteydessä. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle.

4.Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja heidän tähän asetukseen perustuvien oikeuksiensa käyttöön.

5.Tietosuojavastaavaa ja hänen henkilöstöään sitoo hänen tehtäviensä suorittamista koskeva salassapitovelvollisuus unionin oikeuden mukaisesti.

6.Tietosuojavastaava voi suorittaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

7.Asianomainen rekisterinpitäjä, henkilötietojen käsittelijä, henkilöstökomitea ja kaikki luonnolliset henkilöt voivat kuulla tietosuojavastaavaa, käyttämättä virkatietä, kaikissa tämän asetuksen soveltamiseen tai tulkintaan liittyvissä asioissa. Kenellekään ei saa aiheutua haittaa sen johdosta, että hän on saattanut toimivaltaisen tietosuojavastaavan tietoon seikan, jonka osalta hän väittää tämän asetuksen säännöksiä rikotun.

8.Tietosuojavastaava nimitetään toimikaudeksi, joka on kolmesta viiteen vuotta, ja sama henkilö voidaan nimittää uudeksi toimikaudeksi. Jos tietosuojavastaava ei enää täytä tehtäviensä suorittamiseksi vaadittavia edellytyksiä, hänet nimittänyt unionin toimielin tai elin voi erottaa hänet, kuitenkin ainoastaan Euroopan tietosuojavaltuutetun suostumuksella.

9.Nimittämisen jälkeen tietosuojavastaavan nimittäneen unionin toimielimen tai elimen on ilmoitettava hänen nimensä Euroopan tietosuojavaltuutetulle.

46 artikla

Tietosuojavastaavan tehtävät

1.Tietosuojavastaavalla on seuraavat tehtävät:

a)antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tietosuojasäännösten mukaisia velvollisuuksia;

b)varmistaa itsenäisesti tämän asetuksen sisäinen soveltaminen ja valvoa, että noudatetaan tätä asetusta, muita sovellettavia unionin tietosuojalainsäännöksiä ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, käsittelyyn osallistuvan henkilöstön tietämyksen lisääminen ja koulutus sekä näihin liittyvät tarkastukset;

c)varmistaa, että rekisteröidyille tiedotetaan heidän tästä asetuksesta johtuvista oikeuksistaan ja velvollisuuksistaan;

d)antaa pyydettäessä neuvoja henkilötietojen tietoturvaloukkausta koskevan ilmoituksen tarpeellisuudesta 37 ja 38 artiklan mukaisesti;

e)antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 39 artiklan mukaisesti sekä kuulla Euroopan tietosuojavaltuutettua, jos on epävarmaa, onko tietosuojaa koskeva vaikutustenarviointi tarpeen;

f)antaa pyydettäessä neuvoja Euroopan tietosuojavaltuutetun ennakkokuulemisen tarpeesta 40 artiklan mukaisesti ja kuulla Euroopan tietosuojavaltuutettua, jos on epävarmaa, onko ennakkokuuleminen tarpeen;

g)vastata Euroopan tietosuojavaltuutetun kysymyksiin ja olla toimivaltansa rajoissa yhteistyössä Euroopan tietosuojavaltuutetun kanssa tämän pyynnöstä tai omasta aloitteestaan ja kuulla tätä.

2.Tietosuojavastaava voi antaa rekisterinpitäjälle ja henkilötietojen käsittelijälle suosituksia tietosuojan parantamiseksi käytännössä sekä antaa heille neuvoja tietosuojasäännösten soveltamiseen liittyvissä asioissa. Lisäksi hän voi omasta aloitteestaan tai rekisterinpitäjän, henkilötietojen käsittelijän, asianomaisen henkilöstökomitean tai luonnollisen henkilön pyynnöstä tutkia seikkoja ja tapauksia, jotka välittömästi liittyvät hänen tehtäviinsä ja jotka tulevat hänen tietoonsa sekä antaa asiasta kertomuksen tutkimuksen pyytäjälle tai rekisterinpitäjälle tai henkilötietojen käsittelijälle.

3.Kukin unionin toimielin tai elin antaa tarkemmat tietosuojavastaavaa koskevat täytäntöönpanosäännöt. Täytäntöönpanosäännöt koskevat erityisesti tietosuojavastaavan tehtäviä, velvollisuuksia ja toimivaltuuksia.

V LUKU

Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

47 artikla

Siirtoja koskeva yleinen periaate

Sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa vahvistettuja edellytyksiä ja ellei tämän asetuksen muista säännöksistä muuta johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle. Kaikkia tämän luvun säännöksiä on sovellettava, jotta varmistetaan, että tällä asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta.

48 artikla

Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

1.Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaisesti, että tietosuojan riittävä taso on varmistettu kolmannessa maassa tai kolmannen maan alueella tai yhdellä tai useammalla tietyllä toimialalla taikka kyseisessä kansainvälisessä järjestössä ja henkilötiedot siirretään ainoastaan rekisterinpitäjän toimivaltaan kuuluvien tehtävien suorittamiseksi.

2.Unionin toimielimet ja elimet ilmoittavat komissiolle ja Euroopan tietosuojavaltuutetulle tapauksista, joiden osalta ne katsovat, ettei kyseinen kolmas maa tai kansainvälinen järjestö varmista 1 kohdassa tarkoitettua riittävää suojan tasoa.

3.Unionin toimielimet tai elimet toteuttavat tarpeelliset toimenpiteet noudattaakseen komission päätöksiä, joilla asetuksen (EU) 2016/679 45 artiklan 3 ja 5 kohtaa soveltaen todetaan, että kolmas maa tai kansainvälinen järjestö tarjoaa riittävän tietosuojan tason tai että se ei enää tarjoa sitä.

49 artikla

Siirto asianmukaisia suojatoimia soveltaen

1.Jollei asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

2.Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä Euroopan tietosuojavaltuutetun antamaa lupaa:

a)viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline;

b)komission 70 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet;

c)tietosuojaa koskevat vakiolausekkeet, jotka Euroopan tietosuojavaltuutettu vahvistaa ja jotka komissio hyväksyy 70 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;

d)asetuksen (EU) 2016/679 46 artiklan 2 kohdan b, e ja f alakohdassa tarkoitetut yritystä koskevat sitovat säännöt, käytännesäännöt ja sertifiointimekanismi, jos henkilötietojen käsittelijä ei ole unionin toimielin tai elin.

3.Euroopan tietosuojavaltuutetun luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:

a)rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai

b)säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

4.Unionin toimielinten ja elinten on ilmoitettava Euroopan tietosuojavaltuutetulle tapausryhmistä, joihin tätä artiklaa on sovellettu.

5.Hyväksynnät, jotka Euroopan tietosuojavaltuutettu on antanut asetuksen (EY) N:o 45/2001 9 artiklan 7 kohdan nojalla, pysyvät voimassa, kunnes Euroopan tietosuojavaltuutettu tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne.

50 artikla

Siirrot ja luovutukset, joita ei sallita unionin lainsäädännössä

Kolmannen maan tuomioistuimen tai hallintoviranomaisen päätös, jossa rekisterinpitäjä tai henkilötietojen käsittelijä määrätään siirtämään tai luovuttamaan henkilötietoja, voidaan tunnustaa tai saattaa jollakin tavoin täytäntöönpanokelpoiseksi vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen, kuten keskinäiseen oikeusapusopimukseen, sanotun kuitenkaan rajoittamatta tämän luvun mukaisten muiden siirtoa koskevien perusteiden soveltamista.

51 artikla

Erityistilanteita koskevat poikkeukset

1.Jos asetuksen (EU) 2016/679 45 artiklan 3 kohdan nojalla ei ole tehty päätöstä tai 49 artiklassa tarkoitettuja asianmukaisia suojatoimia ei ole toteutettu, henkilötietojen siirto tai siirtojen sarja kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain, jos jokin seuraavista edellytyksistä täyttyy:

a)rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi;

b)siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi;

d)siirto on tarpeen tärkeää yleistä etua koskevien syiden vuoksi;

e)siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai

f)siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

g)siirto tehdään rekisteristä, jonka tarkoituksena unionin oikeuden mukaan on tarjota tietoa yleisölle ja joka on avoin yleisölle tai kenelle tahansa henkilölle, joka voi osoittaa, että kyse on hänen oikeutetusta edustaan, mutta vain siinä määrin kuin unionin oikeudessa säädetyt tiedonsaannin edellytykset täyttyvät asianomaisessa tapauksessa.

2.Edellä olevan 1 kohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietojen ryhmiä, ellei tämä ole sallittu unionin oikeudessa. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto tehdään ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

3.Edellä 1 kohdan d alakohdassa tarkoitettu yleinen etu vahvistetaan unionin oikeudessa.

4.Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa voidaan tärkeää yleistä etua koskevista syistä nimenomaisesti rajoittaa tiettyjen henkilötietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle.

5.Unionin toimielinten ja elinten on ilmoitettava Euroopan tietosuojavaltuutetulle tapausryhmistä, joihin tätä artiklaa on sovellettu.

52 artikla

Kansainvälinen yhteistyö henkilötietojen suojaamiseksi

Euroopan tietosuojavaltuutetun on yhteistyössä komission ja Euroopan tietosuojaneuvoston kanssa toteutettava kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla

a)kehitetään kansainvälisiä yhteistyökeinoja, jotta voidaan edistää henkilötietojen suojaamista koskevan lainsäädännön tosiasiallista täytäntöönpanoa;

b)tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi ilmoituksella, lähettämällä valituksia käsiteltäväksi, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen, että on toteutettu asianmukaiset suojatoimet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja -vapauksia;

c)saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

d)edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytänteiden vaihtamista ja dokumentointia muun muassa niiden koskiessa toimivaltaristiriitoja kolmansien maiden kanssa.

VI LUKU

EUROOPAN TIETOSUOJAVALTUUTETTU

53 artikla

Euroopan tietosuojavaltuutettu

1.Perustetaan Euroopan tietosuojavaltuutettu.

2.Henkilötietojen käsittelyn osalta Euroopan tietosuojavaltuutetun tehtävänä on varmistaa, että unionin toimielimet ja elimet kunnioittavat luonnollisten henkilöiden perusoikeuksia ja -vapauksia, erityisesti heidän oikeuttaan tietosuojaan.

3.Euroopan tietosuojavaltuutetun tehtävänä on seurata luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua koskevien tämän asetuksen ja muiden unionin säädösten säännösten soveltamista ja huolehtia niiden täytäntöönpanosta unionin toimielimen tai elimen suorittaman henkilötietojen käsittelyn osalta sekä antaa neuvontaa unionin toimielimille ja elimille sekä rekisteröidyille kaikista henkilötietojen käsittelyä koskevista seikoista. Näiden tavoitteiden saavuttamiseksi Euroopan tietosuojavaltuutettu hoitaa 58 artiklassa säädettyjä tehtäviä ja käyttää 59 artiklassa annettua toimivaltaa.

54 artikla

Euroopan tietosuojavaltuutetun nimittäminen

1.Euroopan parlamentti ja neuvosto nimittävät yhteisellä sopimuksella Euroopan tietosuojavaltuutetun viiden vuoden toimikaudeksi komission julkisen hakumenettelyn johdosta laatiman luettelon pohjalta. Hakumenettelyn on mahdollistettava se, että kaikki kiinnostuneet koko unionissa voivat jättää hakemuksensa. Komission laatima luettelo ehdokkaista on julkinen. Komission laatiman luettelon perusteella Euroopan parlamentin asiasta vastaava valiokunta voi päättää kuulemisen järjestämisestä voidakseen ilmoittaa suosituimmuusjärjestyksensä.

2.Komission laatiman luettelon, josta Euroopan tietosuojavaltuutettu valitaan, on koostuttava henkilöistä, joiden riippumattomuudesta ei ole epäilystä ja joilla on yleisesti tunnustettu kokemus ja pätevyys Euroopan tietosuojavaltuutetun tehtävien hoitamiseen esimerkiksi sen johdosta, että he kuuluvat tai ovat kuuluneet asetuksen (EU) 2016/679 41 artiklan nojalla perustettuihin valvontaviranomaisiin.

3.Euroopan tietosuojavaltuutettu voidaan nimittää uudeksi toimikaudeksi yhden kerran.

4.Euroopan tietosuojavaltuutetun velvollisuudet päättyvät seuraavissa olosuhteissa:

a)jos Euroopan tietosuojavaltuutetun tilalle nimitetään uusi henkilö;

b)jos Euroopan tietosuojavaltuutettu eroaa;

c)jos Euroopan tietosuojavaltuutettu erotetaan tai tämä on velvollinen jäämään pakolliselle eläkkeelle.

5.Euroopan unionin tuomioistuin voi Euroopan parlamentin, neuvoston ja komission hakemuksesta erottaa Euroopan tietosuojavaltuutetun tai lakkauttaa tältä oikeuden eläkkeeseen tai muihin vastaaviin etuuksiin, jos hän ei enää täytä niitä vaatimuksia, joita hänen tehtävänsä edellyttävät, tai jos hän on syyllistynyt vakavaan rikkomukseen.

6.Kun on kyse tavanomaisesta uudesta nimittämisestä tai vapaaehtoisesta tehtävästä luopumisesta, Euroopan tietosuojavaltuutettu jatkaa kuitenkin tehtävässään, kunnes hänen tilalleen on nimitetty toinen henkilö.

7.Euroopan unionin erioikeuksia ja vapauksia koskevan pöytäkirjan 11–14 sekä 17 artiklaa sovelletaan myös Euroopan tietosuojavaltuutettuun.

55 artikla

Euroopan tietosuojavaltuutetun tehtävien hoitamista koskeva ohjesääntö ja yleiset ehdot sekä henkilöstö ja rahoitus

1.Euroopan tietosuojavaltuutettu rinnastetaan palkkansa, korvaustensa, vanhuuseläkkeensä ja muiden taloudellisten etujensa määrittämisen osalta Euroopan unionin tuomioistuimen tuomariin.

2.Budjettivallan käyttäjä varmistaa, että Euroopan tietosuojavaltuutetulla on käytössään hänen tehtäviensä suorittamista varten tarvittava henkilöstö ja rahoitus.

3.Euroopan tietosuojavaltuutetun talousarvio otetaan erillisenä kohtana Euroopan unionin yleisen talousarvion pääluokkaan IX.

4.Euroopan tietosuojavaltuutettua avustaa sihteeristö. Sihteeristön virkamiehet ja muun henkilöstön nimittää Euroopan tietosuojavaltuutettu, joka toimii heidän esimiehenään. He toimivat yksinomaan hänen ohjauksessaan. Henkilöstön määrä vahvistetaan vuosittain talousarviomenettelyn yhteydessä.

5.Euroopan tietosuojavaltuutetun sihteeristön virkamiehiä ja muuta henkilöstöä sitovat Euroopan unionin virkamiehiin ja muuhun henkilöstöön sovellettavat asetukset ja määräykset.

6.Euroopan tietosuojavaltuutetun toimipaikka on Bryssel.

56 artikla

Riippumattomuus

1.Euroopan tietosuojavaltuutettu toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti.

2.Euroopan tietosuojavaltuutettuun ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti hänen hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eikä hän saa pyytää eikä ottaa ohjeita miltään taholta.

3.Euroopan tietosuojavaltuutetun on pidättäydyttävä kaikesta toiminnasta, joka on yhteensopimatonta hänen tehtäviensä hoitamisen kanssa, eikä hän saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta ammattitoimintaa.

4.Euroopan tietosuojavaltuutetun on toimikautensa päättymisen jälkeen osoitettava kunniallisuutta ja arvostelukykyä nimitysten ja etujen vastaanottamisessa.

57 artikla

Salassapitovelvollisuus

Euroopan tietosuojavaltuutettu ja hänen henkilöstönsä ovat sekä toimikautensa aikana että sen päätyttyä velvollisia pitämään salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä suorittamisen yhteydessä.

58 artikla

Tehtävät

1.Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta Euroopan tietosuojavaltuutettu

a)valvoo tämän asetuksen ja muiden sellaisten unionin säädösten soveltamista, jotka liittyvät luonnollisten henkilöiden suojeluun unionin toimielimen tai elimen suorittaman henkilötietojen käsittelyn osalta, sekä huolehtii niiden täytäntöönpanosta, lukuun ottamatta Euroopan unionin tuomioistuinta sen käsitellessä henkilötietoja lainkäyttötehtävissä;

b)edistää yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti kiinnitetään huomiota lapsille suunnattuihin toimiin;

c)edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;

d)antaa pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tekee yhteistyötä jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;

e)käsittelee rekisteröidyn tai 67 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkii siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoittaa valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

f)suorittaa tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

g)antaa kaikille unionin toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua henkilötietojen käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

h)seuraa asiaan liittyvää kehitystä, erityisesti tieto- ja viestintäteknologian osalta, siltä osin kuin sillä on vaikutusta henkilötietojen suojeluun;

i)hyväksyy 29 artiklan 8 kohdassa ja 49 artiklan 2 kohdan c alakohdassa tarkoitetut vakiosopimuslausekkeet;

j)laatii 39 artiklan 4 kohdan mukaisen luettelon siitä, milloin vaaditaan tietosuojan vaikutustenarviointi, ja ylläpitää tätä luetteloa;

k)osallistuu asetuksen (EU) 2016/679 68 artiklan mukaisesti perustetun Euroopan tietosuojaneuvoston toimintaan;

l)huolehtii asetuksen (EU) 2016/679 75 artiklan mukaisesti Euroopan tietosuojaneuvoston sihteeristön tehtävistä;

m)antaa neuvoja 40 artiklan 2 kohdassa tarkoitettujen käsittelytoimien osalta;

n)hyväksyy 49 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja säännökset;

o)pitää sisäistä rekisteriä tämän asetuksen rikkomisista ja 59 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä;

p)suorittaa mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä. ja

q)vahvistaa työjärjestyksensä.

2.Euroopan tietosuojavaltuutettu helpottaa 1 kohdan e alakohdassa tarkoitettujen valitusten jättämistä valituslomakkeella, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3.Euroopan tietosuojavaltuutetun tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle.

4.Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, Euroopan tietosuojavaltuutettu voi kieltäytyä suorittamasta pyydettyä toimea. Euroopan tietosuojavaltuutetun on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

59 artikla

Valtuudet

1.Euroopan tietosuojavaltuutetulla on seuraavat tutkintavaltuudet:

a)määrätä rekisterinpitäjä ja henkilötietojen käsittelijä antamaan kaikki sen tehtäviensä suorittamiseksi tarvitsemat tiedot;

b)toteuttaa tutkimuksia tietosuojaa koskevien tarkastusten muodossa;

c)ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tämän asetuksen väitetystä rikkomisesta;

d)saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten;

e)saada pääsy kaikkiin rekisterinpitäjän ja henkilötietojen käsittelijän tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien, unionin tai jäsenvaltion prosessioikeuden mukaisesti.

2.Euroopan tietosuojavaltuutetulla on seuraavat korjaavat toimivaltuudet:

a)varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;

b)antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

c)saattaa asioita asianomaisen rekisterinpitäjän tai henkilötietojen käsittelijän ja tarvittaessa Euroopan parlamentin, neuvoston ja komission käsiteltäviksi;

d)määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä;

e)määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

f)määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;

g)asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;

h)määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta 18, 19 ja 20 artiklan perusteella sekä näistä toimenpiteistä ilmoittamisesta niille vastaanottajille, joille henkilötietoja on luovutettu 19 artiklan 2 kohdan ja 21 artiklan mukaisesti;

i)määrätä 66 artiklan nojalla hallinnollinen sakko, jos unionin toimielin tai elin ei toteuta jotain tässä kohdassa tarkoitettua toimenpidettä, kuhunkin tapaukseen liittyvien olosuhteiden mukaan;

j)määrätä, että tiedonsiirrot jäsenvaltiossa tai kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle keskeytetään.

3.Euroopan tietosuojavaltuutetulla on seuraavat korjaavat hyväksymis- ja neuvontavaltuudet:

a)neuvoa rekisteröityjä heille kuuluvien oikeuksien käyttämisessä;

b)antaa rekisterinpitäjälle neuvoja 40 artiklassa tarkoitetun ennakkokuulemismenettelyn mukaisesti;

c)antaa omasta aloitteestaan tai pyynnöstä lausuntoja unionin toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

d)hyväksyä 29 artiklan 8 kohdassa ja 49 artiklan 2 kohdan c alakohdassa tarkoitetut tietosuojaa koskevat vakiolausekkeet;

e)hyväksyä 49 artiklan 3 kohdan a alakohdassa tarkoitetut sopimuslausekkeet; ja

f)hyväksyä 49 artiklan 3 kohdan b alakohdassa tarkoitetut hallinnolliset järjestelyt.

4.Euroopan tietosuojavaltuutetulle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa.

5.Euroopan tietosuojavaltuutetulla on toimivalta saattaa asioita Euroopan unionin tuomioistuimen käsiteltäväksi perussopimuksessa määrättyjen edellytysten mukaisesti ja olla väliintulijana käsiteltäessä Euroopan unionin tuomioistuimessa nostettuja kanteita.

60 artikla

Toimintakertomus

1.Euroopan tietosuojavaltuutettu antaa Euroopan parlamentille, neuvostolle ja komissiolle vuosikertomuksen toiminnastaan ja julkistaa sen samanaikaisesti.

2.Euroopan tietosuojavaltuutettu toimittaa toimintakertomuksen muille unionin toimielimille ja elimille, jotka voivat esittää huomautuksia, Euroopan parlamentissa mahdollisesti käytävää, kertomusta koskevaa keskustelua varten.

VII LUKU

YHTEISTYÖ JA YHDENMUKAISUUS

61 artikla

Yhteistyö kansallisten valvontaviranomaisten kanssa

Euroopan tietosuojavaltuutettu tekee yhteistyötä asetuksen (EU) 2016/679 41 artiklan ja direktiivin (EU) 2016/680 51 artiklan nojalla perustettujen valvontaviranomaisten kanssa, jäljempänä ’kansalliset valvontaviranomaiset’, ja neuvoston päätöksen 2009/917/YOS 21 25 artiklan mukaisesti perustetun yhteisen valvontaviranomaisen kanssa siinä laajuudessa kuin se on tarpeen niiden tehtävien suorittamiseksi, erityisesti antamalla niille tarvittavat tiedot, pyytämällä kansallisia valvontaviranomaisia käyttämään toimivaltuuksiaan tai vastaamalla kyseisten viranomaisten pyyntöön.

62 artikla

Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten harjoittama koordinoitu valvonta

1.Silloin, kun unionin säädöksessä viitataan tähän artiklaan, Euroopan tietosuojavaltuutettu tekee aktiivisesti yhteistyötä kansallisten valvontaviranomaisten kanssa suurten tietotekniikkajärjestelmien tai unionin virastojen tehokkaan valvonnan varmistamiseksi.

2.Euroopan tietosuojavaltuutettu, joka toimii omien toimivaltuuksiensa ja vastuualueensa puitteissa, vaihtaa asiaankuuluvia tietoja, avustaa tarkastusten suorittamisessa, tutkii tämän asetuksen ja muiden sovellettavien unionin säädösten tulkintaan tai soveltamiseen liittyviä vaikeuksia, tutkii riippumattomaan valvontaan tai rekisteröityjen oikeuksien käyttöön liittyviä ongelmia, laatii yhdenmukaistettuja ehdotuksia ratkaisujen löytämiseksi mahdollisiin ongelmiin ja edistää tietämystä tietosuojaa koskevista oikeuksista, tarvittaessa yhdessä kansallisten valvontaviranomaisten kanssa.

3.Euroopan tietosuojavaltuutettu kokoontuu 2 kohdan soveltamiseksi kansallisten valvontaviranomaisten kanssa vähintään kaksi kertaa vuodessa Euroopan tietosuojaneuvoston puitteissa. Euroopan tietosuojaneuvosto vastaa näiden tapaamisten kustannuksista ja järjestelyistä. Ensimmäisessä kokouksessa hyväksytään työjärjestys. Uusia työmenetelmiä kehitetään tarvittaessa yhteisesti.

4.Euroopan tietosuojaneuvosto lähettää koordinoitua valvontaa koskevan yhteisen toimintakertomuksen Euroopan parlamentille, neuvostolle ja komissiolle kahden vuoden välein.

VIII LUKU

OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET

63 artikla

Oikeus tehdä valitus Euroopan tietosuojavaltuutetulle

1.Jokaisella rekisteröidyllä on oikeus tehdä valitus Euroopan tietosuojavaltuutetulle, jos rekisteröity katsoo, että hänen henkilötietojaan on käsitelty tämän asetuksen vastaisesti, sanotun kuitenkaan rajoittamatta tuomioistuimessa tai sen ulkopuolella käytettävissä olevien oikeussuojakeinojen tai hallinnollisten muutoksenhakukeinojen käyttöä.

2.Euroopan tietosuojavaltuutetun on ilmoitettava rekisteröidylle valituksen etenemisestä ja ratkaisusta, mukaan lukien 64 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.

3.Jos Euroopan tietosuojavaltuutettu ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa valituksen etenemisestä tai ratkaisusta, valitus katsotaan hylätyksi.

64 artikla

Oikeus tehokkaisiin oikeussuojakeinoihin

Euroopan unionin tuomioistuimella on toimivalta ratkaista kaikki riidat, jotka koskevat tämän asetuksen säännöksiä, mukaan lukien vahingonkorvausvaatimukset.

65 artikla

Oikeus vahingonkorvaukseen

Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta perussopimuksissa määrätyt edellytykset huomioon ottaen.

66 artikla

Hallinnolliset sakot

1.Euroopan tietosuojavaltuutettu voi määrätä hallinnollisia sakkoja unionin toimielimelle tai elimelle kuhunkin tapaukseen liittyvien olosuhteiden mukaan, jos unionin toimielin tai elin ei noudata Euroopan tietosuojavaltuutetun 59 artiklan 2 kohdan d–h ja j alakohdan mukaista määräystä. Kun päätetään hallinnollisen sakon määräämisestä ja sakon määrästä, kussakin tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)unionin toimielimen tai elimen toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

c)unionin toimielimen tai elimen vastuun aste, ottaen huomioon niiden 27 ja 33 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet;

d)unionin toimielimen tai elimen aiemmat samankaltaiset rikkomiset;

e)yhteistyön aste Euroopan tietosuojavaltuutetun kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

f)henkilötietoryhmät, joihin rikkominen vaikuttaa;

g)tapa, jolla rikkominen tuli Euroopan tietosuojavaltuutetun tietoon, erityisesti se, ilmoittiko unionin toimielin tai elin rikkomisesta ja missä laajuudessa;

h)jos kyseiselle unionin toimielimelle tai elimelle on aikaisemmin määrätty samasta asiasta 59 artiklassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen.

Sakkojen määräämiseen johtavat menettelyt olisi toteutettava kohtuullisessa ajassa kuhunkin tapaukseen liittyvien olosuhteiden perusteella ja ottaen huomioon 69 artiklassa tarkoitetut asiaa koskevat toimet ja menettelyt.

2.Jos unionin toimielin tai elin rikkoo velvoitteita, joista säädetään 8, 12, 27, 28, 29, 30, 31, 32, 33, 37, 38, 39, 40, 44, 45 ja 46 artiklassa, määrätään 1 kohdan mukaisesti hallinnollinen sakko, joka on enintään 25 000 euroa jokaista rikkomista kohden ja yhteensä enintään 250 000 euroa vuodessa.

3.Jos unionin toimielin tai elin rikkoo seuraavia säännöksiä, määrätään 1 kohdan mukaisesti hallinnollinen sakko, joka on enintään 50 000 euroa jokaista rikkomista kohden ja yhteensä enintään 500 000 euroa vuodessa:

a)edellä 4, 5, 7 ja 10 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna;

b)rekisteröityjen 14–24 artiklan mukaiset oikeudet;

c)edellä 47–51 artiklassa tarkoitetut henkilötietojen siirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.

4.Jos unionin toimielin tai elin rikkoo samoissa tai toisiinsa liittyvissä tai jatkuvissa käsittelytoimissa useita tämän asetuksen säännöksiä tai tämän asetuksen yhtä säännöstä useita kertoja, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.

5.Euroopan tietosuojavaltuutettu antaa ennen tämän artiklan mukaisen päätöksen tekemistä unionin toimielimelle tai elimelle, joka on tietosuojavaltuutetun toteuttaman menettelyn kohteena, tilaisuuden tulla kuulluksi seikoista, joista tietosuojavaltuutettu on esittänyt väitteitä. Euroopan tietosuojavaltuutettu perustaa päätöksensä ainoastaan niille väitteille, joista asianomaiset osapuolet ovat voineet esittää huomautuksensa. Kantelijat osallistuvat tiiviisti menettelyyn.

6.Asianomaisten osapuolten puolustautumisoikeudet turvataan menettelyssä täysin. Niillä on oikeus tutustua Euroopan tietosuojavaltuutetun asiakirja-aineistoon edellyttäen kuitenkin, että otetaan huomioon yksityishenkilöiden tai yritysten oikeutetut edut, jotka liittyvät henkilötietojen tai liikesalaisuuksien suojaan.

7.Tämän artiklan mukaisesti määrätyillä sakoilla kerätyt varat otetaan Euroopan unionin yleiseen talousarvioon.

67 artikla

Rekisteröityjen edustaminen

Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään valitus puolestaan Euroopan tietosuojavaltuutetulle ja käyttämään puolestaan 63 artiklassa tarkoitettuja oikeuksia ja 65 artiklassa tarkoitettua korvauksensaamisoikeutta.

68 artikla

Unionin henkilöstön valitukset

Kuka tahansa unionin toimielimen tai elimen palveluksessa oleva henkilö voi tehdä Euroopan tietosuojavaltuutetulle valituksen, joka koskee tämän asetuksen säännösten väitettyä rikkomista, käyttämättä virkatietä. Kenellekään ei saa aiheutua haittaa sen johdosta, että hän on tehnyt Euroopan tietosuojavaltuutetulle valituksen, jossa hän väittää tällaisen rikkomisen tapahtuneen.

69 artikla

Seuraamukset

Jos Euroopan unionin palveluksessa oleva virkamies tai muu toimihenkilö tahallaan tai tuottamuksellisesti jättää täyttämättä tässä asetuksessa säädetyt velvollisuutensa, hänelle voidaan määrätä kurinpito- tai muu seuraamus Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen ja muuhun henkilöstöön sovellettavien palvelussuhteen ehtojen mukaisesti.

IX LUKU

TÄYTÄNTÖÖNPANOSÄÄDÖKSET

70 artikla

Komiteamenettely

1.Komissiota avustaa asetuksen (EU) 2016/679 93 artiklalla perustettu komitea. Kyseinen komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2.Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

X LUKU

LOPPUSÄÄNNÖKSET

71 artikla

Asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoaminen

Kumotaan asetus (EY) N:o 45/2001 22 ja päätös N:o 1247/2002/EY 23 25 päivästä toukokuuta 2018 alkaen. Viittauksia kumottuihin asetukseen ja päätökseen pidetään viittauksina tähän asetukseen.

72 artikla

Siirtymätoimenpiteet

1.Tämä asetus ei vaikuta Euroopan parlamentin ja neuvoston päätökseen 2014/886/EU 24 eikä Euroopan tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nykyiseen toimikauteen.

2.Apulaistietosuojavaltuutettu rinnastetaan palkkansa, korvaustensa, vanhuuseläkkeensä ja muiden taloudellisten etujensa määrittämisen osalta Euroopan unionin tuomioistuimen kirjaajaan.

3.Tämän asetuksen 54 artiklan 4, 5 ja 7 kohtaa sekä 56 ja 57 artiklaa sovelletaan nykyiseen apulaistietosuojavaltuutettuun siihen saakka, kun hänen toimikautensa päättyy 5 päivänä joulukuuta 2019.

4.Apulaistietosuojavaltuutettu avustaa Euroopan tietosuojavaltuutettua tämän kaikissa tehtävissä ja toimii hänen sijaisenaan, kun Euroopan tietosuojavaltuutettu on poissa tai estynyt hoitamasta tehtäviään, kunnes apulaistietosuojavaltuutetun toimikausi päättyy 5 päivänä joulukuuta 2019.

73 artikla

Voimaantulo ja soveltaminen

1.Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2.Sitä sovelletaan 25 päivästä toukokuuta 2018.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä

Euroopan parlamentin puolesta Neuvoston puolesta

Puhemies Puheenjohtaja

SÄÄDÖSEHDOTUKSEEN LIITTYVÄ RAHOITUSSELVITYS

1.PERUSTIEDOT EHDOTUKSESTA/ALOITTEESTA

1.1.Ehdotuksen/aloitteen nimi

1.2.Toimintalohko(t) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä (ABM/ABB)

1.3.Ehdotuksen/aloitteen luonne

1.4.Tavoite (Tavoitteet)

1.5.Ehdotuksen/aloitteen perustelut

1.6.Toiminnan ja sen rahoitusvaikutusten kesto

1.7.Hallinnointitapa (Hallinnointitavat)

2.HALLINNOINTI

2.1.Seuranta- ja raportointisäännöt

2.2.Hallinnointi- ja valvontajärjestelmä

2.3.Toimenpiteet petosten ja sääntöjenvastaisuuksien ehkäisemiseksi

3.EHDOTUKSEN/ALOITTEEN ARVIOIDUT RAHOITUSVAIKUTUKSET

3.1.Kyseeseen tulevat monivuotisen rahoituskehyksen otsakkeet ja menopuolen budjettikohdat

3.2.Arvioidut vaikutukset menoihin

3.2.1.Yhteenveto arvioiduista vaikutuksista menoihin

3.2.2.Arvioidut vaikutukset toimintamäärärahoihin

3.2.3.Arvioidut vaikutukset hallintomäärärahoihin

3.2.4.Yhteensopivuus nykyisen monivuotisen rahoituskehyksen kanssa

3.2.5.Ulkopuolisten tahojen rahoitusosuudet

3.3.Arvioidut vaikutukset tuloihin

SÄÄDÖSEHDOTUKSEEN LIITTYVÄ RAHOITUSSELVITYS

1.PERUSTIEDOT EHDOTUKSESTA/ALOITTEESTA

1.1.Ehdotuksen/aloitteen nimi

Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta.

1.2.Toimintalohko(t) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä (ABM/ABB) 25

Oikeusasiat – Henkilötietojen suoja

1.3.Ehdotuksen/aloitteen luonne

◻ (Ehdotus/aloite liittyy uuteen toimeen.

◻ Ehdotus/aloite liittyy uuteen toimeen, joka perustuu pilottihankkeeseen tai valmistelutoimeen 26 .

–Ehdotus/aloite liittyy käynnissä olevan toimen jatkamiseen.

◻ (Ehdotus/aloite liittyy toimeen, joka on suunnattu uudelleen.

1.4.Tavoite (Tavoitteet)

1.4.1.Komission monivuotinen strateginen tavoite (monivuotiset strategiset tavoitteet), jonka (joiden) saavuttamista ehdotus/aloite tukee

Lissabonin sopimuksen voimaantulo ja erityisesti uuden oikeusperustan (SEUT-sopimuksen 16 artikla) käyttöönotto tarjoavat tilaisuuden toteuttaa kaikki alat kokonaisvaltainen tietosuojakehys, joka kattaa kaikki alat.

Unioni antoi 27 päivänä huhtikuuta 2016 Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (ETA:n kannalta merkityksellinen) (EUVL L 119, 4.5.2016, s. 1–88).

Samana päivänä unioni antoi Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89–131).

Tämän ehdotuksen tavoitteena on saattaa päätökseen kokonaisvaltainen unionin tietosuojakehys yhdenmukaistamalla unionin toimielimissä ja elimissä sovellettavat tietosuojasäännöt asetuksessa (EU) 2016/679 vahvistettujen tietosuojasääntöjen kanssa. Johdonmukaisuuden ja yhtenäisyyden vuoksi unionin toimielinten ja elinten olisi sovellettava samankaltaisia tietosuojaa koskevia sääntöjä kuin jäsenvaltioiden julkisen sektorin säännöt.

1.4.2.Erityistavoite (erityistavoitteet) sekä toiminto (toiminnot) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä

Erityistavoite nro 1:

Varmistaa tietosuojasääntöjen yhdenmukainen soveltaminen unionissa.

Erityistavoite nro 2:

Järkeistää nykyistä tietosuojaa koskevaa hallintomallia unionin toimielimissä ja elimissä.

Erityistavoite nro 3:

Varmistaa tietosuojasääntöjen noudattaminen ja täytäntöönpano unionin toimielimissä ja elimissä.

1.4.3.Odotettavissa olevat tulokset ja vaikutukset

Selvitys siitä, miten ehdotuksella/aloitteella on tarkoitus vaikuttaa edunsaajien/kohderyhmän tilanteeseen

Siltä osin kuin on kyse unionin toimielimistä ja elimistä rekisterinpitäjinä, ne hyötyisivät siirtyessään nykyisistä hallinnollisista tietosuojaprosesseista (ex ante lähestymistapa) käytäntöön, jonka puitteissa aineellisia tietosuojasääntöjä ja asetuksella (EU) 2016/679 käyttöön otettuja uusia tietosuojaperiaatteita ja käsitteitä (ex post lähestymistapa), joita sovelletaan kaikkialla unionissa, noudatetaan tehokkaasti ja ne pannaan tiukemmin täytäntöön.

Henkilöt, joiden tietoja unionin toimielimet ja elimet käsittelevät, voivat valvoa henkilötietojensa käyttöä paremmin, mikä lisää luottamusta verkkoympäristössä toimimiseen. Lisäksi unionin toimielinten ja elinten suorittamaan henkilötietojen käsittelyyn liittyvää tilivelvollisuutta tiukennetaan.

Euroopan tietosuojavaltuutettu voi keskittyä enemmän valvontatehtäväänsä. Neuvojen antamiseen komissiolle liittyvä tehtäväjako asetuksella (EU) 2016/679 perustetun Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun välillä selkeytyy, ja vältytään päällekkäisyyksiltä.

1.4.4.Tulos- ja vaikutusindikaattorit

Selvitys siitä, millaisin indikaattorein ehdotuksen/aloitteen toteuttamista seurataan

Indikaattoreihin sisältyvät seuraavat:

Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun antamien lausuntojen määrä

erittely tietosuojavastaavien tehtävistä

tietosuojaa koskevien vaikutustenarviointien käyttö

rekisteröityjen tekemien valitusten määrä

tietoturvaloukkauksista vastuussa oleville rekisterinpitäjille määrätyt sakot.

1.5.Ehdotuksen/aloitteen perustelut

1.5.1.Tarpeet, joihin ehdotuksella/aloitteella vastataan lyhyellä tai pitkällä aikavälillä

Asetuksessa (EU) 2016/679 (2 artiklan 3 kohta, 98 artikla, johdanto-osan 17 kappale) unionin lainsäätäjät kehottivat saattamaan asetuksen (EY) N:o 45/2001 asetuksessa (EU) 2016/679 vahvistettujen periaatteiden ja sääntöjen mukaiseksi, jotta unioniin luotaisiin vahva ja johdonmukainen tietosuojakehys ja molempia säädöksiä voitaisiin alkaa soveltaa samanaikaisesti eli 25 päivänä toukokuuta 2018.

1.5.2.EU:n osallistumisesta saatava lisäarvo

Unionin toimielimiin ja elimiin sovellettavat tietosuojasäännöt voidaan ottaa käyttöön vain EU:n säädöksellä.

1.5.3.Vastaavista toimista saadut kokemukset

Tämä ehdotus perustuu asetuksesta (EY) N:o 45/2001 saatuihin kokemuksiin ja sen soveltamisen arviointiin, jonka ulkopuolinen toimeksisaaja toteutti syyskuun 2014 ja kesäkuun 2015 välisenä aikana 27 .

1.5.4.Yhteensopivuus muiden kyseeseen tulevien välineiden kanssa ja mahdolliset synergiaedut

Ehdotus perustuu asetukseen (EU) 2016/679, ja sillä saatetaan päätökseen vahvan, johdonmukaisen ja nykyaikaisen sekä teknologianeutraalin ja tulevaisuuden tarpeisiin vastaavan tietosuojakehyksen luominen unionille.

1.6.Toiminnan ja sen rahoitusvaikutusten kesto

◻ Ehdotuksen/aloitteen mukaisen toiminnan kesto on rajattu.

–◻ (Ehdotuksen/aloitteen mukainen toiminta alkaa [PP/KK]VVVV ja päättyy [PP/KK]VVVV.

–◻ Rahoitusvaikutukset alkavat vuonna VVVV ja päättyvät vuonna VVVV.

Ehdotuksen/aloitteen mukaisen toiminnan kestoa ei ole rajattu.

Käynnistysvaihe alkaa vuonna [2017] ja päättyy 25 päivänä toukokuuta 2018, minkä jälkeen toteutus täydessä laajuudessa.

1.7.Hallinnointitapa (Hallinnointitavat) 28

Suora hallinnointi, jonka komissio toteuttaa käyttämällä

–◻ yksiköitään, myös unionin edustustoissa olevaa henkilöstöään

–◻ toimeenpanovirastoja

◻ Hallinnointi yhteistyössä jäsenvaltioiden kanssa

◻ Välillinen hallinnointi, jossa täytäntöönpanotehtäviä on siirretty

–◻ kolmansille maille tai niiden nimeämille elimille

–◻ kansainvälisille järjestöille ja niiden erityisjärjestöille (tarkennettava)

–◻ Euroopan investointipankille tai Euroopan investointirahastolle

–◻ varainhoitoasetuksen 208 ja 209 artiklassa tarkoitetuille elimille

–◻ julkisoikeudellisille yhteisöille

–◻ sellaisille julkisen palvelun tehtäviä hoitaville yksityisoikeudellisille elimille, jotka antavat riittävät rahoitustakuut

–◻ sellaisille jäsenvaltion yksityisoikeuden mukaisille elimille, joille on annettu tehtäväksi julkisen ja yksityisen sektorin kumppanuuden täytäntöönpano ja jotka antavat riittävät rahoitustakuut

–◻ henkilöille, joille on annettu tehtäväksi toteuttaa SEU-sopimuksen V osaston mukaisia yhteisen ulko- ja turvallisuuspolitiikan erityistoimia ja jotka nimetään asiaa koskevassa perussäädöksessä.

–Jos käytetään useampaa kuin yhtä hallinnointitapaa, huomautuksille varatussa kohdassa olisi annettava lisätietoja.

Huomautukset:

Tämä ehdotus rajoittuu ja vaikuttaa kaikkiin unionin toimielimiin ja elimiin.

2.HALLINNOINTI

2.1.Seuranta- ja raportointisäännöt

Ilmoitetaan sovellettavat aikavälit ja edellytykset.

Tämä ehdotus rajoittuu tietosuojasääntöjen soveltamiseen unionin toimielimissä ja elimissä. Näiden sääntöjen noudattamisen valvonta on Euroopan tietosuojavaltuutetulle kuuluva tehtävä. Euroopan tietosuojavaltuutettu vastaa näin ollen seurannasta ja raportoinnista. Tämän ehdotuksen 60 artiklan nojalla Euroopan tietosuojavaltuutetun on annettava Euroopan parlamentille, neuvostolle ja komissiolle vuosikertomus toimivaltaansa kuuluvasta toiminnastaan ja julkistettava se samanaikaisesti.

2.2.Hallinnointi- ja valvontajärjestelmä

2.2.1.Todetut riskit

Asetuksen (EY) N:o 45/2001 soveltamista koskevan arviointitutkimuksen toteutti ulkopuolinen toimeksisaaja syyskuun 2014 ja kesäkuun 2015 välisenä aikana. Siinä tarkastellaan myös vaikutusta, joka asetuksen (EU) 2016/679 keskeisten käsitteiden ja periaatteiden käyttöönotolla on unionin toimielimissä ja elimissä.

Uudessa tietosuojamallissa keskitytään tietosuojasääntöjen tehokkaaseen noudattamiseen, valvontaan ja täytäntöönpanoon. Se edellyttää tietosuojakulttuurin muuttamista unionin toimielimissä ja elimissä niin, että hallinnollisesta ex ante lähestymistavasta siirrytään ex post lähestymistapaan.

2.2.2.Tiedot käyttöön otetusta sisäisen valvonnan järjestelmästä

Unionin toimielimissä ja elimissä nykyisin sovellettavat valvontamenetelmät.

2.2.3.Arvio tarkastusten kustannustehokkuudesta ja odotettavissa olevasta virheriskin tasosta.

Unionin toimielimissä ja elimissä nykyisin sovellettavat valvontamenetelmät.

2.3.Toimenpiteet petosten ja sääntöjenvastaisuuksien ehkäisemiseksi

Ilmoitetaan käytössä olevat ja suunnitellut torjunta- ja suojatoimenpiteet

Unionin toimielimissä ja elimissä nykyisin sovellettavat petoksentorjuntamenetelmät.

3.EHDOTUKSEN/ALOITTEEN ARVIOIDUT RAHOITUSVAIKUTUKSET

3.1.Kyseeseen tulevat monivuotisen rahoituskehyksen otsakkeet ja menopuolen budjettikohdat

Talousarviossa jo olevat budjettikohdat

Monivuotisen rahoituskehyksen otsakkeiden ja budjettikohtien mukaisessa järjestyksessä

Moniv. rahoitus-kehyksen otsake

Budjettikohta

Määrärahalaji

Rahoitusosuudet

Numero [Nimi………………………...……………]

JM/EI-JM 29

EFTA-mailta 30

Ehdokas-mailta 31

Kolman-silta mailta

Varainhoitoase-tuksen 21 artiklan 2 kohdan b alakohdassa tarkoitetut rahoitusosuudet

[XX.YY.YY.YY]

JM/EI-JM

KYLLÄ/ EI

KYLLÄ/EI

Uudet perustettaviksi esitetyt budjettikohdat

Monivuotisen rahoituskehyksen otsakkeiden ja budjettikohtien mukaisessa järjestyksessä

Moniv. rahoitus-kehyksen otsake

Budjettikohta

Määrärahalaji

Rahoitusosuudet

Numero [Nimi………………………...……………]

JM/EI-JM

EFTA-mailta

Ehdokas-mailta

Kolman-silta mailta

Varainhoitoase-tuksen 21 artiklan 2 kohdan b alakohdassa tarkoitetut rahoitusosuudet

[XX.YY.YY.YY]

KYLLÄ/EI

3.2.Arvioidut vaikutukset menoihin

Tämän ehdotuksen vaikutus menoihin rajoittuu unionin toimielinten ja elinten kustannusten kattamiseen. Ehdotukseen liittyvien kustannusten arviointi osoittaa kuitenkin, että se ei aiheuta huomattavia lisäkustannuksia unionin toimielimille ja elimille.

Unionin toimielinten ja elinten rekisterinpitäjien osalta asetuksen (EY) N:o 45/2001 arviointitutkimus osoittaa, että henkilötietojen suojaamista koskeva toiminta vastaa noin 70 kokoaikaisen työntekijän määrää eli noin 9,3 miljoonaa euroa vuodessa. Noin 20 prosenttia tietosuojaa koskevasta toiminnasta keskittyy tällä hetkellä tietojen käsittelystä tehtäviin ilmoituksiin. Tämä toiminto lakkautetaan tässä asetuksessa, mikä vastaa 1,922 miljoonan euron vuotuisia kustannussäästöjä unionin toimielinten ja elinten rekisterinpitäjille. Näiden säästöjen vastapainona rekisterinpitäjien on tarkoitus lisätä investointeja tällä asetuksella käyttöön otettujen uusien periaatteiden ja käsitteiden täytäntöönpanoon.

Tarkemmin eriteltynä arviointitutkimuksen puitteissa tehdyn selvityksen mukaan

a) tietojen minimoinnin periaatteen noudattamisella olisi vähäinen tai olematon vaikutus unionin toimielimiin ja elimiin;

b) läpinäkyvyyden periaatteen noudattamisella ei olisi merkittävää vaikutusta unionin toimielimiin ja elimiin;

c) tiukennettu ilmoitusvelvollisuus lisäisi rekisterinpitäjien ja tietosuojavastaavien työtaakkaa;

d) oikeudella tulla unohdetuksi ei olisi merkittävää vaikutusta unionin toimielimiin ja elimiin;

e) oikeudella siirtää tiedot järjestelmästä toiseen olisi vähäinen tai olematon vaikutus unionin toimielimiin ja elimiin;

f) tietosuojaa koskevilla vaikutustenarvioinneilla olisi melko vähäinen vaikutus rekisterinpitäjien ja tietosuojavastaavien työmäärään, koska eräät unionin toimielimet ja elimet toteuttavat jo nyt tietosuojaa koskevia vaikutustenarviointeja ja tapauksia, joissa tällaisia tietosuojaa koskevia vaikutustenarviointeja on suoritettava, on vähän;

g) ilmoitukset henkilötietojen tietoturvaloukkauksista lisäisivät rekisterinpitäjien työtaakkaa, mutta tällaiset tietoturvaloukkaukset eivät ole yleisiä;

h) sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja ovat jo käytössä useissa unionin toimielimissä ja elimissä.

Lisäksi ennen tietosuojan uudistuspakettia koskevan ehdotuksen hyväksymistä tehdyssä vaikutustenarvioinnissa todettiin, että julkisille viranomaisille tai rekisterinpitäjille ei aiheutuisi minkäänlaista hallinnollista rasitusta sisäänrakennetun tietosuojan periaatteen käyttöönoton seurauksena. 32

Arviointitutkimuksen mukaan unionin toimielimissä ja elimissä toimivien tietosuojavastaavien ja tietosuojakoordinaattorien nykyisen verkoston kustannukset vastaavat 82,9 kokoaikaisen työntekijän määrää ja ovat 10,9 miljoonaa euroa vuodessa. Ne käyttävät 26 prosenttia tietosuojaan liittyvästä ajasta toimiin, jotka lakkautetaan tällä asetuksella, kuten ilmoitusten laatiminen (rekisterinpitäjien sijaan), vastaanotettujen ilmoitusten arviointi ja tietojen merkitseminen rekisteriin sekä ennakkotarkastusten tekeminen. Tämä johtaa 2,834 miljoonan euron vuotuisiin lisäsäästöihin unionin toimielimissä ja elimissä. Lisäksi tämän asetuksen perusteella on mahdollisuus saavuttaa lisäsäästöjä, sillä unionin toimielimet ja elimet voivat ulkoistaa tietosuojavastaavien toimet sen sijaan, että ne käyttäisivät omaa henkilöstöään.

Tietosuojavastaavien toimia koskevien säästöjen vastapainoksi he joutuvat osallistumaan enemmän tiedottamiseen, tietosuojaa koskeviin vaikutustenarviointeihin (harvoissa tapauksissa, joissa niitä tarvitaan) ja Euroopan tietosuojavaltuutetun ennakkokuulemiseen (jonka soveltamisala on kuitenkin paljon rajoittuneempi kuin nykyinen ennakkotarkastusvelvoite).

Euroopan tietosuojavaltuutetun vuosibudjetti on pysynyt melko vakaana vuodesta 2011, ja se on noin 8 miljoonaa euroa. Tällä hetkellä sen valvonta- ja täytäntöönpanoyksikössä ja sen politiikka- ja kuulemisyksikössä on suurin piirtein yhtä paljon henkilöstöä, ja henkilöstömäärät ovat pysyneet vakaina vuodesta 2008. Tässä asetuksessa vahvistetaan Euroopan tietosuojavaltuutetun valvontatehtävää, minkä vastapainona tietosuojavaltuutetun neuvontarooli kohdennetaan paremmin ja Euroopan tietosuojaneuvoston kanssa päällekkäiset tehtävät karsitaan pois. Euroopan tietosuojavaltuutetun henkilöstön uudelleenjärjestelyt voidaan näin ollen toteuttaa sisäisesti.

Tämän ehdotuksen mukaan Euroopan tietosuojavaltuutettu voi määrätä hallinnollisia sakkoja unionin toimielimille ja elimille. Unionin toimielimelle tai elimelle voidaan määrätä sakko, joka on enintään 250 000 euroa vuodessa (25 000 euroa rikkomista kohden) tai 500 000 euroa vuodessa (50 000 euroa rikkomista kohden), kun on kyse tämän asetuksen vakavimmista rikkomisista. Sakkoja on tarkoitus soveltaa ainoastaan kaikkein vakavimmissa tapauksissa ja silloin kun unionin toimielin tai elin ei ole noudattanut muita Euroopan tietosuojavaltuutetun käyttämiä korjaavia toimivaltuuksia. Sen vuoksi on odotettavissa, että tällaisten sakkojen taloudellinen vaikutus on vähäinen.

3.2.1.Yhteenveto arvioiduista vaikutuksista menoihin

milj. euroa (kolmen desimaalin tarkkuudella)

Monivuotisen rahoituskehyksen otsake

Numero

[Nimi………………………...……………]

PO: <…….>			vuosi n 33	vuosi n + 1	vuosi n + 2	vuosi n + 3	ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6)	YHTEENSÄ
•Toimintamäärärahat
Budjettikohdan numero	Sitoumukset	(1)
	Maksut	(2)
Budjettikohdan numero	Sitoumukset	(1a)
	Maksut	(2a)
Tiettyjen ohjelmien määrärahoista katettavat hallintomäärärahat 34
Budjettikohdan numero		(3)
<….> PO:n määrärahat YHTEENSÄ	Sitoumukset	= 1+1a+3
	Maksut	=2+2a +3

•Toimintamäärärahat YHTEENSÄ	Sitoumukset	(4)
	Maksut	(5)
•Tiettyjen ohjelmien määrärahoista katettavat hallintomäärärahat YHTEENSÄ		(6)
Monivuotisen rahoituskehyksen OTSAKKEESEEN<….> kuuluvat määrärahat YHTEENSÄ	Sitoumukset	=4+6
	Maksut	=5+6

Jos ehdotuksella/aloitteella on vaikutuksia useampaan otsakkeeseen:

•Toimintamäärärahat YHTEENSÄ	Sitoumukset	(4)
	Maksut	(5)
•Tiettyjen ohjelmien määrärahoista katettavat hallintomäärärahat YHTEENSÄ		(6)
Monivuotisen rahoituskehyksen OTSAKKEISIIN 1–4 kuuluvat määrärahat YHTEENSÄ (viitemäärä)	Sitoumukset	=4+6
	Maksut	=5+6

Monivuotisen rahoituskehyksen otsake

”Hallintomenot”

milj. euroa (kolmen desimaalin tarkkuudella)

		vuosi n	vuosi n + 1	vuosi n + 2	vuosi n + 3	ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6)	YHTEENSÄ
PO: <…….>
• Henkilöresurssit
• Muut hallintomenot
<….> PO YHTEENSÄ	Määrärahat

Monivuotisen rahoituskehyksen
OTSAKKEESEEN 5 kuuluvat
määrärahat YHTEENSÄ

(Sitoumukset yhteensä = maksut yhteensä)

milj. euroa (kolmen desimaalin tarkkuudella)

		vuosi n 35	vuosi n + 1	vuosi n + 2	vuosi n + 3	ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6)	YHTEENSÄ
Monivuotisen rahoituskehyksen OTSAKKEISIIN 1–5 kuuluvat määrärahat YHTEENSÄ	Sitoumukset
	Maksut

3.2.2.Arvioidut vaikutukset toimintamäärärahoihin

Ehdotus/aloite ei edellytä toimintamäärärahoja.

◻ Ehdotus/aloite edellyttää toimintamäärärahoja seuraavasti:

Maksusitoumusmäärärahat, milj. euroa (kolmen desimaalin tarkkuudella)

Tavoitteet ja tuotokset

⇩

vuosi
n

vuosi
n + 1

vuosi
n + 2

vuosi
n + 3

ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6)

YHTEENSÄ

TUOTOKSET

Tyyppi 36

Keski-määr. kustan-nukset

Lukumäärä

Kus-tannus

Lukumäärä

Kus-tannus

Lukumäärä

Kus-tannus

Lukumäärä

Kus-tannus

Lukumäärä

Kus-tannus

Lukumäärä

Kus-tannus

Lukumäärä

Kus-tannus

Luku-määrä yh-teensä

Kustan-nukset yhteensä

ERITYISTAVOITE 1 37 …

- tuotos

Välisumma erityistavoite 1

ERITYISTAVOITE 2

- tuotos

Välisumma erityistavoite 2

KUSTANNUKSET YHTEENSÄ

3.2.3.Arvioidut vaikutukset hallintomäärärahoihin

3.2.3.1.Yhteenveto

Ehdotus/aloite ei edellytä hallintomäärärahoja.

◻ Ehdotus/aloite edellyttää hallintomäärärahoja seuraavasti:

milj. euroa (kolmen desimaalin tarkkuudella)

vuosi
n 38

vuosi
n + 1

vuosi
n + 2

vuosi
n + 3

ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6)

YHTEENSÄ

Monivuotisen rahoituskehyksen OTSAKE 5
Henkilöresurssit
Muut hallintomenot
Monivuotisen rahoituskehyksen OTSAKE 5, välisumma

Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 sisältymättömät 39
Henkilöresurssit
Muut hallintomenot
Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 sisältymättömät, välisumma

YHTEENSÄ

Henkilöresursseja ja muita hallintomenoja koskeva määrärahatarve katetaan toimen hallinnointiin jo osoitetuilla pääosaston määrärahoilla ja/tai pääosastossa toteutettujen uudelleenjärjestelyjen tuloksena saaduilla määrärahoilla sekä tarvittaessa sellaisilla lisäresursseilla, jotka toimea hallinnoiva pääosasto voi saada käyttöönsä vuotuisessa määrärahojen jakomenettelyssä talousarvion puitteissa.

3.2.3.2.Henkilöresurssien arvioitu tarve

Ehdotus/aloite ei edellytä henkilöresursseja.

◻ Ehdotus/aloite edellyttää henkilöresursseja seuraavasti:

Arvio kokoaikaiseksi henkilöstöksi muutettuna

		vuosi n	vuosi n + 1	vuosi n + 2	vuosi n + 3	ja näitä seuraa-vat vuodet (ilmoi-tetaan kaikki vuodet, joille ehdo-tuksen/aloit-teen vaiku-tukset ulottu-vat, ks. kohta 1.6)
• Henkilöstötaulukkoon sisältyvät virat/toimet (virkamiehet ja väliaikaiset toimihenkilöt)
XX 01 01 01 (päätoimipaikka ja komission edustustot EU:ssa)
XX 01 01 02 (edustustot EU:n ulkopuolella)
XX 01 05 01 (epäsuora tutkimustoiminta)
10 01 05 01 (suora tutkimustoiminta)
• Ulkopuolinen henkilöstö (kokoaikaiseksi muutettuna) 40
XX 01 02 01 (kokonaismäärärahoista katettavat sopimussuhteiset toimihenkilöt, kansalliset asiantuntijat ja vuokrahenkilöstö)
XX 01 02 02 (sopimussuhteiset ja paikalliset toimihenkilöt, kansalliset asiantuntijat, vuokrahenkilöstö ja nuoremmat asiantuntijat EU:n ulkopuolisissa edustustoissa)
XX 01 04 yy 41	- päätoimipaikassa
	- edustustoissa
XX 01 05 02 (sopimussuhteiset toimihenkilöt, kansalliset asiantuntijat ja vuokrahenkilöstö – epäsuora tutkimustoiminta)
10 01 05 02 (suora tutkimustoiminta: sopimussuhteiset toimihenkilöt, kansalliset asiantuntijat ja vuokrahenkilöstö)
Muu budjettikohta (mikä?)
YHTEENSÄ

XX viittaa kyseessä olevaan toimintalohkoon eli talousarvion osastoon.

Henkilöresurssien tarve katetaan toimen hallinnointiin jo osoitetulla pääosaston henkilöstöllä ja/tai pääosastossa toteutettujen henkilöstön uudelleenjärjestelyjen tuloksena saadulla henkilöstöllä sekä tarvittaessa sellaisilla lisäresursseilla, jotka toimea hallinnoiva pääosasto voi saada käyttöönsä vuotuisessa määrärahojen jakomenettelyssä talousarvion puitteissa.

Kuvaus henkilöstön tehtävistä:

Virkamiehet ja väliaikaiset toimihenkilöt
Ulkopuolinen henkilöstö

3.2.4.Yhteensopivuus nykyisen monivuotisen rahoituskehyksen kanssa

Ehdotus/aloite on nykyisen monivuotisen rahoituskehyksen mukainen.

◻ Ehdotus/aloite edellyttää monivuotisen rahoituskehyksen asianomaisen otsakkeen rahoitussuunnitelman muuttamista.

Selvitys rahoitussuunnitelmaan tarvittavista muutoksista, mainittava myös kyseeseen tulevat budjettikohdat ja määrät

◻ Ehdotus/aloite edellyttää joustovälineen varojen käyttöön ottamista tai monivuotisen rahoituskehyksen tarkistamista.

Selvitys tarvittavista toimenpiteistä, mainittava myös kyseeseen tulevat rahoituskehyksen otsakkeet, budjettikohdat ja määrät

3.2.5.Ulkopuolisten tahojen rahoitusosuudet

Ehdotuksen/aloitteen rahoittamiseen ei osallistu ulkopuolisia tahoja.

Ehdotuksen/aloitteen rahoittamiseen osallistuu ulkopuolisia tahoja seuraavasti (arvio):

määrärahat, milj. euroa (kolmen desimaalin tarkkuudella)

	vuosi n	vuosi n + 1	vuosi n + 2	vuosi n + 3	ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6)	Yhteensä
Rahoitukseen osallistuva taho
Yhteisrahoituksella katettavat määrärahat YHTEENSÄ

3.3.Arvioidut vaikutukset tuloihin

Ehdotuksella/aloitteella ei ole vaikutuksia tuloihin.

◻ Ehdotuksella/aloitteella on vaikutuksia tuloihin seuraavasti:

–◻ vaikutukset omiin varoihin

–◻ vaikutukset sekalaisiin tuloihin

milj. euroa (kolmen desimaalin tarkkuudella)

Tulopuolen budjettikohta	Käytettävissä olevat määrärahat kuluvana varainhoito-vuonna	Ehdotuksen/aloitteen vaikutus 42
		vuosi n	vuosi n + 1	vuosi n + 2	vuosi n + 3	ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6)
Momentti ….

Vastaava(t) menopuolen budjettikohta (budjettikohdat) käyttötarkoitukseensa sidottujen sekalaisten tulojen tapauksessa:

Selvitys tuloihin kohdistuvan vaikutuksen laskentamenetelmästä

(1) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001).

(2) Euroopan parlamentin, neuvoston ja komission päätös N:o 1247/2002/EY, tehty 1 päivänä heinäkuuta 2002, Euroopan tietosuojavaltuutetun tehtävien hoitamista koskevasta ohjesäännöstä ja yleisistä ehdoista (EYVL L 183, 12.7.2002, s. 1).

(3) Ks. asetus (EU) 2016/679, 98 artikla ja johdanto-osan 17 kappale.

(4) Unionin tuomioistuimen tuomio 9.3.2010, komissio v. Saksa, C-518/07, ECLI:EU:C:2010:125, 26 ja 28 kohta.

(5) Ks. http://ec.europa.eu/justice/data-protection/reform/index_en.htm

(6) Ks. Euroopan tietosuojavaltuutetun laatima yleiskertomus ”Measuring compliance with Regulation (EC) 45/2001 in EU institutions (”Survey 2013”)” ja ”Opinion 3/2015 – Europe’s big opportunity: EDPS recommendations on the EU’s options for data protection reform”.

(7) JUST/2013/FRAC/FW/0157/A4 rinnakkaisen puitesopimuksen JUST/2011/EVAL/01 (RS 2013/05) yhteydessä – Evaluation Study on Regulation (EC) 45/2001 (Ernst & Young), osoitteessa http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087

(8) Unionin tuomioistuimen tuomio 9.11.2010, Volker und Markus Schecke ja Eifert, yhdistetyt asiat C-92/09 ja C-93/09, ECLI:EU:C:2009:284, 48 kohta.

(9) Perusoikeuskirjan 52 artiklan 1 kohdan mukaan tietosuojaoikeuden käyttämistä voidaan rajoittaa, jos näistä rajoituksista säädetään lailla, jos niissä kunnioitetaan kyseisten oikeuksien ja vapauksien olennaista sisältöä ja jos ne suhteellisuusperiaatteen mukaisesti ovat välttämättömiä ja vastaavat tosiasiallisesti Euroopan unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.

(10) EUVL C , , s. .

(11) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(12) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (ETA:n kannalta merkityksellinen) (EUVL L 119, 4.5.2016, s. 1–88).

(13) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89–131).

(14) Neuvoston direktiivi 93/13/ETY, annettu 5 päivänä huhtikuuta 1993, kuluttajasopimusten kohtuuttomista ehdoista (EYVL L 95, 21.4.1993, s. 29).

(15) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1338/2008, annettu 16 päivänä joulukuuta 2008, kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista (EUVL L 354, 31.12.2008, s. 70) .

(16) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(17) Euroopan parlamentin ja neuvoston asetus (EY) N:o 223/2009, annettu 11 päivänä maaliskuuta 2009, Euroopan tilastoista sekä salassapidettävien tilastotietojen luovuttamisesta Euroopan yhteisöjen tilastotoimistolle annetun Euroopan parlamentin ja neuvoston asetuksen (EY, Euratom) N:o 1101/2008, yhteisön tilastoista annetun neuvoston asetuksen (EY) N:o 322/97 ja Euroopan yhteisöjen tilasto-ohjelmakomitean perustamisesta tehdyn neuvoston päätöksen 89/382/ETY, Euratom kumoamisesta ( EUVL L 87, 31.3.2009, s. 164 ).

(18) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (ETA:n kannalta merkityksellinen) (EUVL L 119, 4.5.2016, s. 1).

(19) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).

(20) Komission direktiivi 2008/63/EY, annettu 20 päivänä kesäkuuta 2008, kilpailusta telepäätelaitemarkkinoilla (EUVL L 162, 21.6.2008, s. 20).

(21) Neuvoston päätös 2009/917/YOS, tehty 30 päivänä marraskuuta 2009, tietotekniikan käytöstä tullialalla (EUVL L 323, 10.12.2009, s. 20–30).

(22) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001).

(23) Euroopan parlamentin, neuvoston ja komission päätös N:o 1247/2002/EY, tehty 1 päivänä heinäkuuta 2002, Euroopan tietosuojavaltuutetun tehtävien hoitamista koskevasta ohjesäännöstä ja yleisistä ehdoista (EYVL L 183, 12.7.2002, s. 1).

(24) Euroopan parlamentin ja neuvoston päätös 2014/886/EU, annettu 4 päivänä joulukuuta 2014, Euroopan tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittämisestä (EUVL L 351, 9.12.2014, s. 9).

(25) ABM: toimintoperusteinen johtaminen; ABB: toimintoperusteinen budjetointi.

(26) Sellaisina kuin nämä on määritelty varainhoitoasetuksen 54 artiklan 2 kohdan a ja b alakohdassa.

(27) JUST/2013/FRAC/FW/0157/A4 rinnakkaisen puitesopimuksen JUST/2011/EVAL/01 (RS 2013/05) yhteydessä – Evaluation Study on Regulation (EC) 45/2001 (Ernst & Young).

(28) Kuvaukset eri hallinnointitavoista ja viittaukset varainhoitoasetukseen ovat saatavilla budjettipääosaston verkkosivuilla osoitteessa http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

(29) JM = jaksotetut määrärahat / EI-JM = jaksottamattomat määrärahat.

(30) EFTA: Euroopan vapaakauppaliitto.

(31) Ehdokasmaat ja soveltuvin osin Länsi-Balkanin mahdolliset ehdokasmaat.

(32) Commission staff working paper, Impact Assessment (SEC(2012) 72 final, s. 110).

(33) Vuosi n on ehdotuksen/aloitteen toteutuksen aloitusvuosi.

(34) Tekninen ja/tai hallinnollinen apu sekä EU:n ohjelmien ja/tai toimien toteuttamiseen liittyvät tukimenot (entiset BA-budjettikohdat), epäsuora ja suora tutkimustoiminta.

(35) Vuosi n on ehdotuksen/aloitteen toteutuksen aloitusvuosi.

(36) Tuotokset ovat tuloksena olevia tuotteita ja palveluita (esim. rahoitettujen opiskelijavaihtojen määrä tai rakennetut tiekilometrit).

(37) Kuten kuvattu kohdassa 1.4.2 ”Erityistavoitteet”.

(38) Vuosi n on ehdotuksen/aloitteen toteutuksen aloitusvuosi.

(39) Tekninen ja/tai hallinnollinen apu sekä EU:n ohjelmien ja/tai toimien toteuttamiseen liittyvät tukimenot (entiset BA-budjettikohdat), epäsuora ja suora tutkimustoiminta.

(40) Sopimussuhteiset toimihenkilöt, paikalliset toimihenkilöt, kansalliset asiantuntijat, vuokrahenkilöstö, nuoremmat asiantuntijat EU:n ulkopuolisissa edustustoissa.

(41) Toimintamäärärahoista katettavan ulkopuolisen henkilöstön enimmäismäärä (entiset BA-budjettikohdat).

(42) Perinteiset omat varat (tulli- ja sokerimaksut) on ilmoitettava nettomääräisinä eli bruttomäärästä on vähennettävä kantokuluja vastaava 25 prosentin osuus.