| 4.5.2016 | EN | Official Journal of the European Union | L 119/89 | 4.5.2016 | ET | Euroopa Liidu Teataja | L 119/89 |
| DIRECTIVE (EU) 2016/680 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL | EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV (EL) 2016/680, |
| of 27 April 2016 | 27. aprill 2016, |
| on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA | mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK |
| THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, | EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU, |
| Having regard to the Treaty on the Functioning of the European Union, and in particular Article 16(2) thereof, | võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 16 lõiget 2, |
| Having regard to the proposal from the European Commission, | võttes arvesse Euroopa Komisjoni ettepanekut, |
| After transmission of the draft legislative act to the national parliaments, | olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele, |
| Having regard to the opinion of the Committee of the Regions (1), | võttes arvesse Regioonide Komitee arvamust (1), |
| Acting in accordance with the ordinary legislative procedure (2), | toimides seadusandliku tavamenetluse kohaselt (2) |
| Whereas: | ning arvestades järgmist: |
| (1) | The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (‘the Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her. | (1) | Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta („harta“) artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu (ELi toimimise leping) artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele. |
| (2) | The principles of, and rules on the protection of natural persons with regard to the processing of their personal data should, whatever their nationality or residence, respect their fundamental rights and freedoms, in particular their right to the protection of personal data. This Directive is intended to contribute to the accomplishment of an area of freedom, security and justice. | (2) | Isikuandmete töötlemisele kohaldatavad füüsiliste isikute kaitse põhimõtted ja normid peaks füüsiliste isikute kodakondsusest ja elukohast sõltumata austama nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Käesoleva direktiivi eesmärk on aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala lõplikule väljakujundamisele. |
| (3) | Rapid technological developments and globalisation have brought new challenges for the protection of personal data. The scale of the collection and sharing of personal data has increased significantly. Technology allows personal data to be processed on an unprecedented scale in order to pursue activities such as the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. | (3) | Kiire tehnoloogiline areng ja üleilmastumine on toonud isikuandmete kaitsesse uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab selliste tegevuste puhul nagu süütegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine ning kriminaalkaristuste täitmisele pööramine töödelda isikuandmeid enneolematus ulatuses. |
| (4) | The free flow of personal data between competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security within the Union and the transfer of such personal data to third countries and international organisations, should be facilitated while ensuring a high level of protection of personal data. Those developments require the building of a strong and more coherent framework for the protection of personal data in the Union, backed by strong enforcement. | (4) | Süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil tuleks hõlbustada pädevate asutuste vahelist isikuandmete vaba liikumist liidus, nagu ka selliste isikuandmete edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, tagades samal ajal isikuandmete kõrgetasemelise kaitse. Selleks on vaja liidus luua tugev ja ühtsem isikuandmete kaitse raamistik, mida toetab tõhus täitmise tagamine. |
| (5) | Directive 95/46/EC of the European Parliament and of the Council (3) applies to all processing of personal data in Member States in both the public and the private sectors. However, it does not apply to the processing of personal data in the course of an activity which falls outside the scope of Community law, such as activities in the areas of judicial cooperation in criminal matters and police cooperation. | (5) | Isikuandmete töötlemisele liikmesriikide avalikus ja erasektoris kohaldatakse Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ (3). Nimetatud direktiivi ei kohaldata siiski isikuandmete töötlemisele sellise tegevuse käigus, mis ei kuulu ühenduse õiguse kohaldamisalasse, nagu näiteks tegevus kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas. |
| (6) | Council Framework Decision 2008/977/JHA (4) applies in the areas of judicial cooperation in criminal matters and police cooperation. The scope of application of that Framework Decision is limited to the processing of personal data transmitted or made available between Member States. | (6) | Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas kohaldatakse nõukogu raamotsust 2008/977/JSK (4). Kõnealuse raamotsuse kohaldamisala on piiratud liikmesriikide vahel edastatud ja kättesaadavaks tehtud isikuandmete töötlemisega. |
| (7) | Ensuring a consistent and high level of protection of the personal data of natural persons and facilitating the exchange of personal data between competent authorities of Members States is crucial in order to ensure effective judicial cooperation in criminal matters and police cooperation. To that end, the level of protection of the rights and freedoms of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, should be equivalent in all Member States. Effective protection of personal data throughout the Union requires the strengthening of the rights of data subjects and of the obligations of those who process personal data, as well as equivalent powers for monitoring and ensuring compliance with the rules for the protection of personal data in the Member States. | (7) | Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö tõhususe huvides on eriti oluline tagada füüsiliste isikute isikuandmete järjekindel kõrgetasemeline kaitse ja hõlbustada isikuandmete vahetamist liikmesriikide pädevate asutuste vahel. Selleks peaks kõikides liikmesriikides olema ühesugune füüsiliste isikute õiguste ja vabaduste kaitse tase isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada andmesubjektide õigusi ning isikuandmeid töötlevate isikute kohustusi, aga ka volitusi isikuandmete kaitse normide järgimise järelevalveks ja tagamiseks liikmesriikides. |
| (8) | Article 16(2) TFEU mandates the European Parliament and the Council to lay down the rules relating to the protection of natural person s with regard to the processing of personal data and the rules relating to the free movement of personal data. | (8) | ELi toimimise lepingu artikli 16 lõikes 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama õigusnorme füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega, samuti isikuandmete vaba liikumist käsitlevaid õigusnorme. |
| (9) | On that basis, Regulation (EU) 2016/679 of the European Parliament and of the Council (5) lays down general rules to protect natural persons in relation to the processing of personal data and to ensure the free movement of personal data within the Union. | (9) | Sellest lähtudes sätestab Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 (5) üldised normid füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise tagamiseks liidus. |
| (10) | In Declaration No 21 on the protection of personal data in the fields of judicial cooperation in criminal matters and police cooperation, annexed to the final act of the intergovernmental conference which adopted the Treaty of Lisbon, the conference acknowledged that specific rules on the protection of personal data and the free movement of personal data in the fields of judicial cooperation in criminal matters and police cooperation based on Article 16 TFEU may prove necessary because of the specific nature of those fields. | (10) | Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö eripära tõttu võib tekkida vajadus ELi toimimise lepingu artiklil 16 põhinevate erinormide järele seoses isikuandmete kaitse ja isikuandmete vaba liikumisega kõnealustes valdkondades. |
| (11) | It is therefore appropriate for those fields to be addressed by a directive that lays down the specific rules relating to the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, respecting the specific nature of those activities. Such competent authorities may include not only public authorities such as the judicial authorities, the police or other law-enforcement authorities but also any other body or entity entrusted by Member State law to exercise public authority and public powers for the purposes of this Directive. Where such a body or entity processes personal data for purposes other than for the purposes of this Directive, Regulation (EU) 2016/679 applies. Regulation (EU) 2016/679 therefore applies in cases where a body or entity collects personal data for other purposes and further processes those personal data in order to comply with a legal obligation to which it is subject. For example, for the purposes of investigation detection or prosecution of criminal offences financial institutions retain certain personal data which are processed by them, and provide those personal data only to the competent national authorities in specific cases and in accordance with Member State law. A body or entity which processes personal data on behalf of such authorities within the scope of this Directive should be bound by a contract or other legal act and by the provisions applicable to processors pursuant to this Directive, while the application of Regulation (EU) 2016/679 remains unaffected for the processing of personal data by the processor outside the scope of this Directive. | (11) | Seetõttu on asjakohane reguleerida kõnealuseid valdkondi direktiiviga, mis sätestab erinormid, mis käsitlevad füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, võttes arvesse kõnealuste tegevuste eripära. Sellised pädevad asutused võivad olla mitte üksnes avaliku sektori asutused nagu õigusasutused, politsei ja teised õiguskaitseasutused, vaid ka kõik muud asutused või üksused, kes teostavad liikmesriigi õiguse kohaselt avalikku võimu käesoleva direktiivi kohaldamisel. Kui selline asutus või üksus töötleb isikuandmeid muul eesmärgil kui käesoleva direktiivi kohaldamine, kohaldatakse määrust (EL) 2016/679. Seepärast kohaldatakse määrust (EL) 2016/679 juhul, kui asutus või üksus kogub isikuandmeid muul eesmärgil ja täiendavalt töötleb kõnealuseid isikuandmeid oma juriidilise kohustuse täitmiseks. Näiteks finantsasutused säilitavad süütegude uurimiseks või avastamiseks või nende eest vastutusele võtmiseks teatavaid nende poolt töödeldavaid isikuandmeid ning nad teevad need isikuandmed kättesaadavaks ainult pädevatele riigiasutustele erijuhtudel ja kooskõlas liikmesriigi õigusega. Asutus või üksus, kes töötleb isikuandmeid nende asutuste nimel käesoleva direktiivi kohaldamisala piires, peaks olema seotud lepingu või õigusaktiga ning tema suhtes tuleks kohaldada käesolevast direktiivist tulenevaid vastutavate töötlejate suhtes kohaldatavaid sätteid, kusjuures ei mõjutata määruse (EL) 2016/679 kohaldamist vastutava töötleja poolt isikuandmete töötlemisele väljaspool käesoleva direktiivi kohaldamisala. |
| (12) | The activities carried out by the police or other law-enforcement authorities are focused mainly on the prevention, investigation, detection or prosecution of criminal offences, including police activities without prior knowledge if an incident is a criminal offence or not. Such activities can also include the exercise of authority by taking coercive measures such as police activities at demonstrations, major sporting events and riots. They also include maintaining law and order as a task conferred on the police or other law-enforcement authorities where necessary to safeguard against and prevent threats to public security and to fundamental interests of the society protected by law which may lead to a criminal offence. Member States may entrust competent authorities with other tasks which are not necessarily carried out for the purposes of the prevention, investigation, detection or prosecution of criminal offences, including the safeguarding against and the prevention of threats to public security, so that the processing of personal data for those other purposes, in so far as it is within the scope of Union law, falls within the scope of Regulation (EU) 2016/679. | (12) | Politsei või muude õiguskaitseasutuste tegevus, sealhulgas politsei toimingud juhul, kui eelnevalt pole teada, kas tegemist on süüteoga, keskenduvad peamiselt süütegude tõkestamisele, uurimisele, avastamisele või nende eest vastutusele võtmisele. Selline tegevus võib hõlmata ka avaliku võimu teostamist sunnimeetmete võtmisega, näiteks politsei tegevus demonstratsioonidel, suurtel spordiüritustel ja massirahutustel. Selline tegevus hõlmab ka avaliku korra säilitamist, mis on politseile või muule õiguskaitseasutusele antud ülesanne, et vajaduse korral kaitsta avalikku julgeolekut ja seadusega kaitstavaid ühiskonna põhihuve selliste ohtude eest ja hoida ära selliste ohtude teke avalikule julgeolekule ja seadusega kaitstavatele ühiskonna põhihuvidele, mis võivad viia süüteo toimepanemiseni. Liikmesriigid võivad anda pädevatele asutustele muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, määruse (EL) 2016/679 kohaldamisalasse. |
| (13) | A criminal offence within the meaning of this Directive should be an autonomous concept of Union law as interpreted by the Court of Justice of the European Union (the ‘Court of Justice’). | (13) | Süüteo mõiste käesoleva direktiivi tähenduses peaks olema liidu õiguse autonoomne mõiste, nagu seda on tõlgendanud Euroopa Liidu Kohus („Euroopa Kohus“). |
| (14) | Since this Directive should not apply to the processing of personal data in the course of an activity which falls outside the scope of Union law, activities concerning national security, activities of agencies or units dealing with national security issues and the processing of personal data by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the Treaty on European Union (TEU) should not be considered to be activities falling within the scope of this Directive. | (14) | Kuna käesolevat direktiivi ei tohiks kohaldada isikuandmete töötlemisele sellise tegevuse käigus, mis jääb liidu õiguse kohaldamisalast väljapoole, ei tohiks käesoleva direktiivi kohaldamisalasse kuuluva tegevusena käsitada riikliku julgeolekuga seotud tegevust, riikliku julgeoleku küsimustega tegelevate asutuste või üksuste tegevust ning isikuandmete töötlemist liikmesriikide poolt Euroopa Liidu lepingu (ELi leping) V jaotise 2. peatüki kohaldamisalasse kuuluva tegevuse käigus. |
| (15) | In order to ensure the same level of protection for natural persons through legally enforceable rights throughout the Union and to prevent divergences hampering the exchange of personal data between competent authorities, this Directive should provide for harmonised rules for the protection and the free movement of personal data processed for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. The approximation of Member States' laws should not result in any lessening of the personal data protection they afford but should, on the contrary, seek to ensure a high level of protection within the Union. Member States should not be precluded from providing higher safeguards than those established in this Directive for the protection of the rights and freedoms of the data subject with regard to the processing of personal data by competent authorities. | (15) | Selleks et tagada kogu liidus ühesugune füüsiliste isikute kohtulikult kaitstavate õiguste kaitse tase ning saavutada, et erinevused ei takistaks isikuandmete vahetamist pädevate asutuste vahel, tuleks käesolevas direktiivis sätestada ühtsed normid süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise, kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta. Liikmesriikide õigusaktide ühtlustamine ei tohiks viia isikuandmete kaitse taseme langemiseni, vaid sellega tuleks püüda tagada kõrgetasemeline kaitse kogu liidus. Liikmesriikidel ei tohiks keelata näha ette rangemaid kaitsemeetmeid kui need, mis on kehtestatud käesolevas direktiivis, andmesubjekti õiguste ja vabaduste kaitseks seoses isikuandmete töötlemisega pädevate asutuste poolt. |
| (16) | This Directive is without prejudice to the principle of public access to official documents. Under Regulation (EU) 2016/679 personal data in official documents held by a public authority or a public or private body for the performance of a task carried out in the public interest may be disclosed by that authority or body in accordance with Union or Member State law to which the public authority or body is subject in order to reconcile public access to official documents with the right to the protection of personal data. | (16) | Käesolev direktiiv ei piira põhimõtte kohaldamist, mis käsitleb üldsuse juurdepääsu ametlikele dokumentidele. Määruse (EL) 2016/679 kohaselt võib avaliku sektori asutus või avaliku sektori organ või erasektori organ avalikes huvides oleva ülesande täitmiseks avaldada tema valduses olevates ametlikes dokumentides sisalduvaid isikuandmeid kooskõlas kõnealusele avaliku sektori asutusele või organile kohaldatava liidu või liikmesriigi õigusega, et ühitada üldsuse juurdepääs sellistele ametlikele dokumentidele ja õigus isikuandmete kaitsele. |
| (17) | The protection afforded by this Directive should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data. | (17) | Käesoleva direktiiviga pakutavat kaitset tuleks kohaldada füüsiliste isikute isikuandmete töötlemisele, olenemata nende kodakondsusest või elukohast. |
| (18) | In order to prevent creating a serious risk of circumvention, the protection of natural persons should be technologically neutral and should not depend on the techniques used. The protection of natural persons should apply to the processing of personal data by automated means, as well as to manual processing, if the personal data are contained or are intended to be contained in a filing system. Files or sets of files, as well as their cover pages, which are not structured according to specific criteria should not fall within the scope of this Directive. | (18) | Selleks et vältida normide täitmisest kõrvalehoidmise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest. Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva direktiivi kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole spetsiifiliste kriteeriumide kohaselt korrastatud, ega nende esilehed. |
| (19) | Regulation (EC) No 45/2001 of the European Parliament and of the Council (6) applies to the processing of personal data by the Union institutions, bodies, offices and agencies. Regulation (EC) No 45/2001 and other Union legal acts applicable to such processing of personal data should be adapted to the principles and rules established in Regulation (EU) 2016/679. | (19) | Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 45/2001 (6) kohaldatakse isikuandmete töötlemisele liidu institutsioonide, organite ja asutuste poolt. Määrust (EÜ) nr 45/2001 ja muid sellise isikuandmete töötlemise suhtes kohaldatavaid liidu õigusakte tuleks kohandada määrusega (EL) 2016/679 sätestatud põhimõtetele ja normidele. |
| (20) | This Directive does not preclude Member States from specifying processing operations and processing procedures in national rules on criminal procedures in relation to the processing of personal data by courts and other judicial authorities, in particular as regards personal data contained in a judicial decision or in records in relation to criminal proceedings. | (20) | Käesolev direktiiv ei takista liikmesriike täpsustamast nende kriminaalmenetlust käsitlevates õigusnormides kohtute ja muude õigusasutuste poolt isikuandmete töötlemise toiminguid ja menetlusi, eelkõige seoses kohtuotsustes sisalduvate isikuandmetega või kriminaalmenetluse toimikutega. |
| (21) | The principles of data protection should apply to any information concerning an identified or identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is no longer identifiable. | (21) | Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või muu isik võib füüsilise isiku otseseks või kaudseks tuvastamiseks tõenäoliselt kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks kasutatakse tõenäoliselt vahendeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse isikuandmete töötlemise ajal kättesaadavat tehnoloogiat ning tehnoloogia arengut. Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, s.o teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada. |
| (22) | Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data protection rules according to the purposes of the processing. | (22) | Avaliku sektori asutusi, kellele avaldatakse isikuandmeid vastavalt juriidilisele kohustusele täita oma ametiülesandeid, näiteks maksu- ja tolliasutused, finantsuurimisüksused, sõltumatud haldusasutused või finantsturuasutused, kes vastutavad väärtpaberiturgude reguleerimise ja järelevalve eest, ei tohiks pidada vastuvõtjateks, kui nad saavad isikuandmeid, mida vajatakse üldistes huvides konkreetse päringu tegemiseks kooskõlas liidu või liikmesriigi õigusega. Avaliku sektori asutuste saadetavad andmete avaldamise taotlused peaksid olema alati kirjalikud, põhjendatud ja juhtumipõhised ning need ei tohiks puudutada kogu andmete kogumit või põhjustada andmete kogumite omavahelist ühendamist. Nimetatud avaliku sektori asutused peaksid isikuandmeid töötlema kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele. |
| (23) | Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or health of that natural person and which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained. Considering the complexity and sensitivity of genetic information, there is a great risk of misuse and re-use for various purposes by the controller. Any discrimination based on genetic features should in principle be prohibited. | (23) | Geneetilised andmed tuleks määratleda isikuandmetena, mis seonduvad füüsilise isiku päritud või omandatud geneetiliste omadustega ning mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia või tervise kohta ning mis saadakse asjaomase füüsilise isiku bioloogilise proovi analüüsist, iseäranis kromosoom-, desoksüribonukleiinhappe (DNA) või ribonukleiinhappe (RNA) analüüsist või muu elemendi analüüsist, mis võimaldab saada samaväärset teavet. Arvestades geneetiliste andmete keerukust ja tundlikkust, on suur oht, et vastutav töötleja väär- ja taaskasutab andmeid erinevatel eesmärkidel. Igasugune geneetilistel omadustel põhinev diskrimineerimine peaks olema põhimõtteliselt keelatud. |
| (24) | Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive 2011/24/EU of the European Parliament and of the Council (7) to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test. | (24) | Tervisealaste isikuandmete hulka peaksid kuuluma kõik andmesubjekti terviseseisundit puudutavad andmed, mis annavad teavet andmesubjekti endise, praeguse või tulevase füüsilise või vaimse terviseseisundi kohta. See hõlmab teavet füüsilise isiku kohta, mis on kogutud füüsilise isiku tervishoiuteenuste registreerimise või talle tervishoiuteenuste osutamise käigus, nagu on osutatud Euroopa Parlamendi ja nõukogu direktiivis 2011/24/EL; (7) numbrit, tähist või eritunnust, mis on füüsilisele isikule määratud tema kordumatuks tuvastamiseks tervisega seotud eesmärkidel; teavet, mis on saadud mingi kehaosa või kehast pärineva aine, sealhulgas geneetiliste andmete ja bioloogiliste proovide kontrollimise või uurimise tulemusena; ja teavet näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi või andmesubjekti füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata sellest, millisest allikast see on saadud (näiteks arstilt või muult tervishoiutöötajalt, haiglalt, meditsiiniseadmest või in vitro diagnostikast). |
| (25) | All Member States are affiliated to the International Criminal Police Organisation (Interpol). To fulfil its mission, Interpol receives, stores and circulates personal data to assist competent authorities in preventing and combating international crime. It is therefore appropriate to strengthen cooperation between the Union and Interpol by promoting an efficient exchange of personal data whilst ensuring respect for fundamental rights and freedoms regarding the automatic processing of personal data. Where personal data are transferred from the Union to Interpol, and to countries which have delegated members to Interpol, this Directive, in particular the provisions on international transfers, should apply. This Directive should be without prejudice to the specific rules laid down in Council Common Position 2005/69/JHA (8) and Council Decision 2007/533/JHA (9). | (25) | Kõik liikmesriigid on Rahvusvahelise Kriminaalpolitsei Organisatsiooni (Interpol) liikmed. Oma ülesannete täitmiseks kogub, säilitab ja levitab Interpol isikuandmeid, mis aitavad pädevatel asutustel ennetada rahvusvahelist kuritegevust ning selle vastu võidelda. Seetõttu on asjakohane tugevdada liidu ja Interpoli vahelist koostööd, soodustades tõhusat isikuandmete vahetust, tagades samas põhiõiguste ja -vabaduste austamise isikuandmete automaatsel töötlemisel. Kui isikuandmeid edastatakse liidust Interpoli ja riikidele, kes on Interpoli koosseisu liikmeid delegeerinud, tuleks kohaldada käesolevat direktiivi, eelkõige andmete rahvusvahelist edastamist käsitlevaid sätteid. Käesolev direktiiv ei tohiks piirata erinorme, mis on kehtestatud nõukogu ühises seisukohas 2005/69/JSK (8) ja nõukogu otsuses 2007/533/JSK (9). |
| (26) | Any processing of personal data must be lawful, fair and transparent in relation to the natural persons concerned, and only processed for specific purposes laid down by law. This does not in itself prevent the law-enforcement authorities from carrying out activities such as covert investigations or video surveillance. Such activities can be done for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, as long as they are laid down by law and constitute a necessary and proportionate measure in a democratic society with due regard for the legitimate interests of the natural person concerned. The data protection principle of fair processing is a distinct notion from the right to a fair trial as defined in Article 47 of the Charter and in Article 6 of the European Convention for the Protection of Human Rights and Fundamental Freedoms (ECHR). Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of their personal data and how to exercise their rights in relation to the processing. In particular, the specific purposes for which the personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate and relevant for the purposes for which they are processed. It should, in particular, be ensured that the personal data collected are not excessive and not kept longer than is necessary for the purpose for which they are processed. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Member States should lay down appropriate safeguards for personal data stored for longer periods for archiving in the public interest, scientific, statistical or historical use. | (26) | Isikuandmete töötlemine peaks olema asjaomaste füüsiliste isikute suhtes seaduslik, õiglane ja läbipaistev ning isikuandmeid tuleb töödelda ainult õigusaktis sätestatud konkreetsetel eesmärkidel. See ei takista õiguskaitseasutustel iseenesest selliste toimingute tegemist nagu varjatud jälitustoimingud või videovalve. Sellised toimingud on lubatud süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, kui need on õigusaktis ette nähtud ning kujutavad endast demokraatlikus ühiskonnas vajalikku ja proportsionaalset meedet ning nende puhul arvestatakse nõuetekohaselt asjaomase füüsilise isiku õigustatud huve. Andmekaitses kehtiv õiglase töötlemise põhimõte on määratletud harta artiklis 47 ja Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni („Euroopa inimõiguste konventsioon“) artiklis 6 õiglase kohtumenetluse õigusest eraldiseiseva põhimõttena. Füüsilisi isikuid tuleks teavitada nende isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad isikuandmete töötlemisega seoses oma õigusi kasutada. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata isikuandmete kogumise ajal. Isikuandmed peaksid olema töötlemise eesmärgi seisukohast piisavad ja asjakohased. Eelkõige tuleks tagada, et isikuandmeid ei koguta ülemääraselt ja neid ei säilitata kauem, kui nende töötlemise eesmärgil on vaja. Isikuandmeid tuleks töödelda üksnes juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. Selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või korrapäraseks läbivaatamiseks. Liikmesriigid peaksid kehtestama asjakohased kaitsemeetmed isikuandmetele, mida säilitatakse pikema aja jooksul avalikes huvides arhiveerimise eesmärgil või teaduslikuks, statistiliseks või ajalooliseks kasutamiseks. |
| (27) | For the prevention, investigation and prosecution of criminal offences, it is necessary for competent authorities to process personal data collected in the context of the prevention, investigation, detection or prosecution of specific criminal offences beyond that context in order to develop an understanding of criminal activities and to make links between different criminal offences detected. | (27) | Süütegude tõkestamiseks, uurimiseks ja nende eest vastutusele võtmiseks peavad pädevad asutused konkreetsete süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise käigus kogutud isikuandmeid töötlema muuks otstarbeks, et saada teadmisi kuritegevuse kohta ja erinevaid avastatud süütegusid omavahel seostada. |
| (28) | In order to maintain security in relation to processing and to prevent processing in infringement of this Directive, personal data should be processed in a manner that ensures an appropriate level of security and confidentiality, including by preventing unauthorised access to or use of personal data and the equipment used for the processing, and that takes into account available state of the art and technology, the costs of implementation in relation to the risks and the nature of the personal data to be protected. | (28) | Selleks et tagada isikuandmete töötlemise turvalisus ja vältida, et isikuandmete töötlemisel rikutakse käesoleva direktiivi nõudeid, tuleks isikuandmeid töödelda viisil, mis tagab nende nõuetekohase turvalisuse ja konfidentsiaalsuse, sealhulgas väldib isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamist, ja võtab arvesse teaduse ja tehnoloogia viimast arengut, ohtudele vastavaid rakenduskulusid ja kaitstavate isikuandmete laadi. |
| (29) | Personal data should be collected for specified, explicit and legitimate purposes within the scope of this Directive and should not be processed for purposes incompatible with the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. If personal data are processed by the same or another controller for a purpose within the scope of this Directive other than that for which it has been collected, such processing should be permitted under the condition that such processing is authorised in accordance with applicable legal provisions and is necessary for and proportionate to that other purpose. | (29) | Isikuandmeid tuleks koguda täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel kooskõlas käesoleva direktiivi kohaldamisalaga ning neid ei tohiks töödelda eesmärkidel, mis on vastuolus süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgiga. Kui isikuandmeid töötleb sama või erinev vastutav töötleja käesoleva direktiivi kohaldamisalasse kuuluval eesmärgil, mis on nende kogumise eesmärgist erinev, peaks selline töötlemine olema lubatud tingimusel, et selline töötlemine on asjaomaste õigusnormide kohaselt lubatud ning nimetatud teise eesmärgi saavutamiseks vajalik ja proportsionaalne. |
| (30) | The principle of accuracy of data should be applied while taking account of the nature and purpose of the processing concerned. In particular in judicial proceedings, statements containing personal data are based on the subjective perception of natural persons and are not always verifiable. Consequently, the requirement of accuracy should not appertain to the accuracy of a statement but merely to the fact that a specific statement has been made. | (30) | Võttes arvesse asjaomase töötlemise laadi ja eesmärki, tuleks kohaldada andmete õigsuse põhimõtet. Eelkõige kohtumenetluses antakse isikuandmeid sisaldavaid ütlusi, mis põhinevad füüsiliste isikute subjektiivsel ettekujutusel toimunust ning mida ei saa alati kontrollida. Seetõttu ei tohiks õigsuse nõue puudutada tunnistuse õigsust, vaid üksnes tõsiasja, et konkreetne tunnistus on antud. |
| (31) | It is inherent to the processing of personal data in the areas of judicial cooperation in criminal matters and police cooperation that personal data relating to different categories of data subjects are processed. Therefore, a clear distinction should, where applicable and as far as possible, be made between personal data of different categories of data subjects such as: suspects; persons convicted of a criminal offence; victims and other parties, such as witnesses; persons possessing relevant information or contacts; and associates of suspects and convicted criminals. This should not prevent the application of the right of presumption of innocence as guaranteed by the Charter and by the ECHR, as interpreted in the case-law of the Court of Justice and by the European Court of Human Rights respectively. | (31) | Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö käigus isikuandmete töötlemise puhul on olemuslik, et töödeldakse eri kategooriatesse kuuluvate andmesubjektide isikuandmeid. Seetõttu, kui see on asjakohane, tuleks sellises ulatuses nagu võimalik selgelt eristada selliste andesubjektide eri kategooriate isikuandmeid nagu kahtlusalused, süüteos süüdi mõistetud isikud, süüteo ohvrid ning muud isikud, nagu tunnistajad ja asjakohast teavet omavad isikud ning kahtlustatavate ja süüdimõistetute kontaktisikud ja kaasosalised. See ei tohiks takistada harta ja Euroopa inimõiguste konventsiooniga tagatud ning Euroopa Kohtu ja Euroopa Inimõiguste Kohtu praktika kohaselt tõlgendatava süütuse presumptsiooni õiguse kohaldamist. |
| (32) | The competent authorities should ensure that personal data which are inaccurate, incomplete or no longer up to date are not transmitted or made available. In order to ensure the protection of natural persons, the accuracy, completeness or the extent to which the personal data are up to date and the reliability of the personal data transmitted or made available, the competent authorities should, as far as possible, add necessary information in all transmissions of personal data. | (32) | Pädevad asutused peaksid tagama, et isikuandmeid, mis on ebaõiged, mittetäielikud või mis ei ole enam ajakohased, ei edastata ega tehta kättesaadavaks. Selleks et tagada füüsiliste isikute kaitse, edastatavate või kättesaadavaks tehtavate isikuandmete õigsus, täielikkus ja usaldusväärsus või ulatus, mil määral isikuandmed on ajakohased, peaksid pädevad asutused võimaluste piires lisama vajaliku teabe igasugusele isikuandmete edastamisele. |
| (33) | Where this Directive refers to Member State law, a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a Member State law, legal basis or legislative measure should be clear and precise and its application foreseeable for those subject to it, as required by the case-law of the Court of Justice and the European Court of Human Rights. Member State law regulating the processing of personal data within the scope of this Directive should specify at least the objectives, the personal data to be processed, the purposes of the processing and procedures for preserving the integrity and confidentiality of personal data and procedures for its destruction, thus providing sufficient guarantees against the risk of abuse and arbitrariness. | (33) | Kui käesolevas direktiivis osutatakse liikmesriigi õigusele, õiguslikule alusele või seadusandlikule meetmele, ei pea selleks tingimata olema parlamendi poolt vastu võetud seadusandlik akt, ilma et see piiraks asjaomase liikmesriigi põhiseaduslikust korrast tulenevate nõuete kohaldamist. Selline liikmesriigi õigus, õiguslik alus või seadusandlik meede peaks siiski olema selge ja täpne ning selle kohaldamine ettenähtav nendele, kelle suhtes seda kohaldatakse, nagu seda nõuab Euroopa Kohtu ja Euroopa Inimõiguste Kohtu praktika. Käesoleva direktiivi kohaldamisalasse kuuluvat isikuandmete töötlemist reguleerivas liikmesriigi õiguses tuleks kindlaks määrata vähemalt isikuandmete töötlemise üldeesmärgid, töödeldavad isikuandmed, töötlemise konkreetsed eesmärgid ning isikuandmete tervikluse ja konfidentsiaalsuse tagamise menetlused ja isikuandmete hävitamist käsitlevad menetlused, mis annaksid piisava tagatise ohu vastu, et isikuandmeid võidakse kuritarvitada või meelevaldselt kasutada. |
| (34) | The processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, should cover any operation or set of operations which are performed upon personal data or sets of personal data for those purposes, whether by automated means or otherwise, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, alignment or combination, restriction of processing, erasure or destruction. In particular, the rules of this Directive should apply to the transmission of personal data for the purposes of this Directive to a recipient not subject to this Directive. Such a recipient should encompass a natural or legal person, public authority, agency or any other body to which personal data are lawfully disclosed by the competent authority. Where personal data were initially collected by a competent authority for one of the purposes of this Directive, Regulation (EU) 2016/679 should apply to the processing of those data for purposes other than the purposes of this Directive where such processing is authorised by Union or Member State law. In particular, the rules of Regulation (EU) 2016/679 should apply to the transmission of personal data for purposes outside the scope of this Directive. For the processing of personal data by a recipient that is not a competent authority or that is not acting as such within the meaning of this Directive and to which personal data are lawfully disclosed by a competent authority, Regulation (EU) 2016/679 should apply. While implementing this Directive, Member States should also be able to further specify the application of the rules of Regulation (EU) 2016/679, subject to the conditions set out therein. | (34) | Isikuandmete töötlemine pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil peaks hõlmama isikuandmete või nende kogumitega sellistel eesmärkidel tehtavat automatiseeritud või automatiseerimata toimingut või toimingute kogumit, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, ühitamine ja ühendamine, nende töötlemise piiramine, kustutamine ja hävitamine. Eelkõige tuleks käesoleva direktiivi norme kohaldada isikuandmete käesoleva direktiivi kohasele edastamisele sellisele vastuvõtjale, kelle suhtes ei kohaldata käesolevat direktiivi. Selline vastuvõtja peaks hõlmama füüsilist või juriidilist isikut, avaliku sektori asutust, ametit või muud organit, kellele pädev asutus isikuandmed seaduslikult avaldab. Kui pädev asutus kogus isikuandmed algselt mõnel käesoleva direktiivi kohasel eesmärgil, tuleks kõnealuste andmete töötlemisele muudel eesmärkidel kui käesoleva direktiivi eesmärgid kohaldada määrust (EL) 2016/679, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Eelkõige tuleks määruse (EL) 2016/679 norme kohaldada sellisele isikuandmete edastamisele, mille eesmärk ei kuulu käesoleva direktiivi kohaldamisalasse. Kui isikuandmeid töötleb vastuvõtja, kes ei ole pädev asutus käesoleva direktiivi tähenduses või ei tegutse sellise pädeva asutusena ja kellele pädev asutus isikuandmed seaduslikult avaldab, tuleks kohaldada määrust (EL) 2016/679. Käesoleva direktiivi rakendamisel peaksid liikmesriigid samuti saama täiendavalt täpsustada määruse (EL) 2016/679 normide kohaldamist viimases sätestatud tingimustel. |
| (35) | In order to be lawful, the processing of personal data under this Directive should be necessary for the performance of a task carried out in the public interest by a competent authority based on Union or Member State law for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. Those activities should cover the protection of vital interests of the data subject. The performance of the tasks of preventing, investigating, detecting or prosecuting criminal offences institutionally conferred by law to the competent authorities allows them to require or order natural persons to comply with requests made. In such a case, the consent of the data subject, as defined in Regulation (EU) 2016/679, should not provide a legal ground for processing personal data by competent authorities. Where the data subject is required to comply with a legal obligation, the data subject has no genuine and free choice, so that the reaction of the data subject could not be considered to be a freely given indication of his or her wishes. This should not preclude Member States from providing, by law, that the data subject may agree to the processing of his or her personal data for the purposes of this Directive, such as DNA tests in criminal investigations or the monitoring of his or her location with electronic tags for the execution of criminal penalties. | (35) | Selleks et isikuandmete töötlemine oleks seaduslik, peaks käesoleva direktiivi kohane isikuandmete töötlemine olema vajalik pädeva asutuse avalikes huvides oleva ülesande täitmiseks liidu või liikmesriigi õiguse alusel süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Kõnealused tegevused peaksid hõlmama andmesubjekti eluliste huvide kaitsmist. Pädevatele asutustele institutsiooniliselt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise eesmärgil seadusega antud ülesande täitmine annab neile õiguse nõuda või kohustada, et füüsilised isikud vastaksid esitatud taotlustele. Sellisel juhul ei tohiks andmesubjekti nõusolek (mis on määratletud määruses (EL) 2016/679) olla õiguslik alus isikuandmete töötlemiseks pädevate asutuste poolt. Kui andmesubjektilt nõutakse juriidilise kohustuse täitmist, puudub andmesubjektil tõeline ja vaba valikuvõimalus ning seetõttu ei saa andmesubjekti reaktsiooni käsitada vabatahtliku tahteavaldusena. See ei tohiks takistada liikmesriikidel õigusaktidega ette näha, et andmesubjekt võib nõustuda oma isikuandmete käesoleva direktiivi eesmärkidel toimuva töötlemisega, nagu kriminaaluurimises tehtavad DNA testid või tema asukoha jälgimine elektrooniliste märgiste abil kriminaalkaristuste täitmisele pööramiseks. |
| (36) | Member States should provide that where Union or Member State law applicable to the transmitting competent authority provides for specific conditions applicable in specific circumstances to the processing of personal data, such as the use of handling codes, the transmitting competent authority should inform the recipient of such personal data of those conditions and the requirement to respect them. Such conditions could, for example, include a prohibition against transmitting the personal data further to others, or using them for purposes other than those for which they were transmitted to the recipient, or informing the data subject in the case of a limitation of the right of information without the prior approval of the transmitting competent authority. Those obligations should also apply to transfers by the transmitting competent authority to recipients in third countries or international organisations. Member States should ensure that the transmitting competent authority does not apply such conditions to recipients in other Member States or to agencies, offices and bodies established pursuant to Chapters 4 and 5 of Title V of the TFEU other than those applicable to similar data transmissions within the Member State of that competent authority. | (36) | Liikmesriigid peaksid sätestama, et kui andmeid edastava pädeva asutuse suhtes kohaldatavas liidu või liikmesriigi õiguses on sätestatud konkreetsed tingimused, mida kohaldatakse konkreetsetel juhtudel isikuandmete töötlemisele, näiteks menetluskoodide kasutamine, peaks andmeid edastav pädev asutus selliste isikuandmete vastuvõtjat kõnealustest tingimustest ja nende järgimise nõudest teavitama. Selliste tingimuste hulka võib näiteks kuuluda keeld edastada isikuandmeid kolmandatele isikutele või kasutada neid muul eesmärgil kui see, milleks neid vastuvõtjale edastati, või teavitada andmesubjekti teabe saamise õiguse piirangu korral ilma andmeid edastava pädeva asutuse eelneva nõusolekuta. Kõnealused kohustused peaksid kohalduma ka andmete edastamisele pädeva asutuse poolt kolmandates riikides asuvatele vastuvõtjatele või rahvusvahelistele organisatsioonidele. Liikmesriigid peaksid tagama, et andmeid edastav pädev asutus ei kohalda teistes liikmesriikides asuvate vastuvõtjate ega ELi toimimise lepingu V jaotise 4. ja 5. peatüki kohaselt loodud asutuste ja organite suhtes selliseid tingimusi, välja arvatud tingimused, mida kohaldatakse sarnasele andmeedastusele kõnealuse pädeva asutuse liikmesriigis. |
| (37) | Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Directive does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. Such personal data should not be processed, unless processing is subject to appropriate safeguards for the rights and freedoms of the data subject laid down by law and is allowed in cases authorised by law; where not already authorised by such a law, the processing is necessary to protect the vital interests of the data subject or of another person; or the processing relates to data which are manifestly made public by the data subject. Appropriate safeguards for the rights and freedoms of the data subject could include the possibility to collect those data only in connection with other data on the natural person concerned, the possibility to secure the data collected adequately, stricter rules on the access of staff of the competent authority to the data and the prohibition of transmission of those data. The processing of such data should also be allowed by law where the data subject has explicitly agreed to the processing that is particularly intrusive to him or her. However, the consent of the data subject should not provide in itself a legal ground for processing such sensitive personal data by competent authorities. | (37) | Isikuandmeid, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti delikaatsed, väärivad erikaitset, sest nende töötlemise kontekst võib tekitada suurt ohtu põhiõigustele ja -vabadustele. Need isikuandmed peaks hõlmama isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas direktiivis ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu. Selliseid isikuandmeid ei tohiks töödelda, välja arvatud juhul, kui andmesubjekti õiguste ja vabaduste suhtes kohaldatakse töötlemisel asjakohaseid õiguses sätestatud kaitsemeetmeid, ning õiguses lubatud juhtudel; või kui töötlemine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks, kui sellise õiguse kohaselt ei ole see juba lubatud; või kui töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud. Andmesubjekti õiguste ja vabaduste asjakohased kaitsemeetmed võivad hõlmata võimalust koguda selliseid andmeid ainult seoses muude asjaomast füüsilist isikut käsitlevate andmetega, võimalust tagada kogutud andmete piisav turvalisus, rangemaid norme pädeva asutuse töötajate juurdepääsuks andmetele ja selliste andmete edastamise keelamist. Selliste isikuandmete töötlemine peaks samuti olema õigusaktiga lubatud, kui andmesubjekt on andnud sõnaselge nõusoleku selliseks isikuandmete töötlemiseks, mis on tema suhtes erakordselt sekkuv. Andmesubjekti nõusolek iseenesest ei peaks siiski olema õiguslik alus selliste delikaatsete isikuandmete töötlemiseks pädevate asutuste poolt. |
| (38) | The data subject should have the right not to be subject to a decision evaluating personal aspects relating to him or her which is based solely on automated processing and which produces adverse legal effects concerning, or significantly affects, him or her. In any case, such processing should be subject to suitable safeguards, including the provision of specific information to the data subject and the right to obtain human intervention, in particular to express his or her point of view, to obtain an explanation of the decision reached after such assessment or to challenge the decision. Profiling that results in discrimination against natural persons on the basis of personal data which are by their nature particularly sensitive in relation to fundamental rights and freedoms should be prohibited under the conditions laid down in Articles 21 and 52 of the Charter. | (38) | Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes isikuandmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat otsust, millel on teda puudutavad negatiivsed õiguslikud tagajärjed või mis teda märkimisväärselt mõjutavad. Igal juhul tuleks sellise töötlemise korral kohaldada sobivaid kaitsemeetmeid, mis muu hulgas hõlmavad andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, eelkõige õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ja õigust otsust vaidlustada. Keelatud peaks olema profiilianalüüs, mille tulemusena diskrimineeritakse füüsilisi isikuid selliste isikuandmete alusel, mis on oma laadilt eriti delikaatsed seoses põhiõiguste ja -vabadustega, tingimustel, mis on sätestatud harta artiklites 21 ja 52. |
| (39) | In order to enable him or her to exercise his or her rights, any information to the data subject should be easily accessible, including on the website of the controller, and easy to understand, using clear and plain language. Such information should be adapted to the needs of vulnerable persons such as children. | (39) | Selleks et andmesubjekt saaks oma õigusi teostada, peaks teave olema talle hõlpsasti kättesaadav, muu hulgas peaks see olema esitatud vastutava töötleja veebisaidil ja kergesti arusaadav ning selgelt ja lihtsalt sõnastatud. Selline teave peaks olema kohandatud vastavalt kaitsetute isikute, nagu lapsed, vajadustele. |
| (40) | Modalities should be provided for facilitating the exercise of the data subject's rights under the provisions adopted pursuant to this Directive, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and restriction of processing. The controller should be obliged to respond to requests of the data subject without undue delay, unless the controller applies limitations to data subject rights in accordance with this Directive. Moreover, if requests are manifestly unfounded or excessive, such as where the data subject unreasonably and repetitiously requests information or where the data subject abuses his or her right to receive information, for example, by providing false or misleading information when making the request, the controller should be able to charge a reasonable fee or refuse to act on the request. | (40) | Tuleks ette näha kord, millega hõlbustatakse käesoleva direktiivi kohaselt vastu võetud sätete alusel andmesubjekti õiguste teostamist, sealhulgas mehhanismid, mille abil saab taotleda tutvumist isikuandmetega ja asjakohasel juhul eelkõige nendega tasuta tutvuda ning isikuandmete parandamist, kustutamist ja nende töötlemise piiramist. Vastutav töötleja peaks olema kohustatud vastama andmesubjektide taotlusele põhjendamatu viivituseta, välja arvatud juhul, kui vastutav töötleja kohaldab kooskõlas käesoleva direktiiviga andmesubjekti õiguste suhtes piiranguid. Peale selle, kui taotlused on selgelt põhjendamatud või ülemäärased, näiteks kui andmesubjekt põhjendamatult ja korduvalt taotleb teavet või kui andmesubjekt kuritarvitab oma õigust saada teavet, näiteks esitades taotluse esitamisel vale- või eksitavat teavet, peaks vastutav töötleja saama nõuda mõistlikku tasu või keelduda taotluse alusel toimingu tegemisest. |
| (41) | Where the controller requests the provision of additional information necessary to confirm the identity of the data subject, that information should be processed only for that specific purpose and should not be stored for longer than needed for that purpose. | (41) | Kui vastutav töötleja taotleb andmesubjekti isiku kinnitamiseks vajaliku täiendava teabe esitamist, tuleks nimetatud teavet töödelda üksnes nimetatud konkreetsel eesmärgil ja seda ei tuleks säilitada kauem kui nimetatud eesmärgi jaoks vajalik. |
| (42) | At least the following information should be made available to the data subject: the identity of the controller, the existence of the processing operation, the purposes of the processing, the right to lodge a complaint and the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing. This could take place on the website of the competent authority. In addition, in specific cases and in order to enable the exercise of his or her rights, the data subject should be informed of the legal basis for the processing and of how long the data will be stored, in so far as such further information is necessary, taking into account the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject. | (42) | Andmesubjektile tuleks kättesaadavaks teha vähemalt järgmine teave: vastutava töötleja isik, teave andmesubjekti isikuandmete töötlemise kohta, isikuandmete töötlemise eesmärk, õigus esitada kaebus ning õigus taotleda vastutavalt töötlejalt tutvumist oma isikuandmetega ning nende parandamist, kustutamist või nende töötlemise piiramist. Seda võib teha pädeva asutuse veebisaidil. Peale selle tuleks konkreetsetel juhtudel ja selleks, et võimaldada andmesubjektil teostada oma õigusi, teda teavitada töötlemise õiguslikust alusest ja sellest, kui kaua andmeid säilitatakse, niivõrd kuivõrd selline täiendav teave on vajalik, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, et tagada isikuandmete õiglane töötlemine andmesubjekti suhtes. |
| (43) | A natural person should have the right of access to data which has been collected concerning him or her, and to exercise this right easily and at reasonable intervals, in order to be aware of and verify the lawfulness of the processing. Every data subject should therefore have the right to know, and obtain communications about, the purposes for which the data are processed, the period during which the data are processed and the recipients of the data, including those in third countries. Where such communications include information as to the origin of the personal data, the information should not reveal the identity of natural persons, in particular confidential sources. For that right to be complied with, it is sufficient that the data subject be in possession of a full summary of those data in an intelligible form, that is to say a form which allows that data subject to become aware of those data and to verify that they are accurate and processed in accordance with this Directive, so that it is possible for him or her to exercise the rights conferred on him or her by this Directive. Such a summary could be provided in the form of a copy of the personal data undergoing processing. | (43) | Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks füüsilisel isikul olema õigus tutvuda andmetega, mis on tema kohta kogutud, ning seda õigust lihtsalt ja mõistlike ajavahemike järel teostada. Igal andmesubjektil peaks seega olema õigus teada isikuandmete töötlemise eesmärke, töötlemise ajavahemikku ja andmete vastuvõtjaid, sealhulgas kolmandates riikides, ning saada eelneva kohta teavet. Kui sellise teavitamise käigus antakse teavet isikuandmete päritolu kohta, ei tohiks selline teave paljastada füüsiliste isikute identiteeti ja eelkõige konfidentsiaalseid allikaid. Kõnealuse õiguse tagamiseks piisab, kui andmesubjektil on olemas arusaadaval kujul nimetatud andmete täielik kokkuvõte, s.o andmed kujul, mis võimaldab andmesubjektil saada nendest andmetest teadlikuks ning kontrollida, et need on õiged ja neid töödeldakse käesoleva direktiivi kohaselt, nii et tal on võimalik teostada talle käesoleva direktiiviga antud õigusi. Sellise kokkuvõtte võib esitada töödeldavate isikuandmete koopiana. |
| (44) | Member States should be able to adopt legislative measures delaying, restricting or omitting the information to data subjects or restricting, wholly or partly, the access to their personal data to the extent that and as long as such a measure constitutes a necessary and proportionate measure in a democratic society with due regard for the fundamental rights and the legitimate interests of the natural person concerned, to avoid obstructing official or legal inquiries, investigations or procedures, to avoid prejudicing the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, to protect public security or national security, or to protect the rights and freedoms of others. The controller should assess, by way of a concrete and individual examination of each case, whether the right of access should be partially or completely restricted. | (44) | Liikmesriikidel peaks asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades olema võimalik võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile teabe hilisem või piiratud esitamine või esitamata jätmine või tema isikuandmetega tutvumise täielik või osaline piiramine sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks, süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise kahjustamise vältimiseks või kriminaalkaristuste täitmisele pööramiseks ning avaliku julgeoleku või riigi julgeoleku kaitsmiseks või teiste isikute õiguste ja vabaduste kaitsmiseks. Vastutav töötleja peaks iga konkreetse juhtumi puhul eraldi ja individuaalse uurimise käigus hindama, kas isikuandmetega tutvumise õigust tuleks osaliselt või täielikult piirata. |
| (45) | Any refusal or restriction of access should in principle be set out in writing to the data subject and include the factual or legal reasons on which the decision is based. | (45) | Andmesubjekti tuleks põhimõtteliselt teavitada kirjalikult isikuandmetega tutvumisest keeldumisest või selle piiramisest ning see teade peaks sisaldama otsuse faktilisi ja õiguslikke põhjusi. |
| (46) | Any restriction of the rights of the data subject must comply with the Charter and with the ECHR, as interpreted in the case-law of the Court of Justice and by the European Court of Human Rights respectively, and in particular respect the essence of those rights and freedoms. | (46) | Andmesubjekti õiguste piiramine peaks olema kooskõlas harta ning Euroopa inimõiguste konventsiooniga, nagu neid tõlgendavad Euroopa Kohus ja Euroopa Inimõiguste Kohus oma praktikas, ning eelkõige tuleb seejuures austada nende õiguste ja vabaduste põhiolemust. |
| (47) | A natural person should have the right to have inaccurate personal data concerning him or her rectified, in particular where it relates to facts, and the right to erasure where the processing of such data infringes this Directive. However, the right to rectification should not affect, for example, the content of a witness testimony. A natural person should also have the right to restriction of processing where he or she contests the accuracy of personal data and its accuracy or inaccuracy cannot be ascertained or where the personal data have to be maintained for purpose of evidence. In particular, instead of erasing personal data, processing should be restricted if in a specific case there are reasonable grounds to believe that erasure could affect the legitimate interests of the data subject. In such a case, restricted data should be processed only for the purpose which prevented their erasure. Methods to restrict the processing of personal data could include, inter alia, moving the selected data to another processing system, for example for archiving purposes, or making the selected data unavailable. In automated filing systems the restriction of processing should in principle be ensured by technical means. The fact that the processing of personal data is restricted should be indicated in the system in such a manner that it is clear that the processing of the personal data is restricted. Such rectification or erasure of personal data or restriction of processing should be communicated to recipients to whom the data have been disclosed and to the competent authorities from which the inaccurate data originated. The controllers should also abstain from further dissemination of such data. | (47) | Füüsilisel isikul peaks olema õigus teda käsitlevate ebaõigete isikuandmete parandamisele, eelkõige juhul, kui tegemist on faktiliste andmetega, ja kustutamisele, kui selliste andmete töötlemine rikub käesolevat direktiivi. Siiski ei tohiks andmete parandamise õigus mõjutada näiteks tunnistaja ütluse sisu. Füüsilisel isikul peaks samuti olema õigus isikuandmete töötlemise piiramisele, kui ta vaidlustab isikuandmete õigsuse ja kui nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või kui isikuandmeid tuleb säilitada tõendamise eesmärgil. Eelkõige tuleks isikuandmete kustutamise asemel nende töötlemist piirata, kui konkreetsel juhul on põhjendatult alust arvata, et andmete kustutamine võib kahjustada andmesubjekti õigustatud huve. Piiratud isikuandmeid tuleks sellisel juhul töödelda üksnes sel eesmärgil, mis takistas nende kustutamist. Isikuandmete töötlemise piiramise meetodid võivad muu hulgas hõlmata valitud andmete ümberpaigutamist teise töötlemissüsteemi, näiteks arhiveerimise eesmärgil, või valitud andmete muutmist kättesaamatuks. Automaatsetes andmete kogumites tuleks isikuandmete töötlemise piiramine tagada üldjuhul tehniliste vahenditega. Asjaolu, et isikuandmete töötlemine on piiratud, tuleks süsteemis esitada selliselt, et isikuandmete töötlemisele seatud piirangu olemasolu oleks selge. Isikuandmete parandamisest, kustutamisest ja nende töötlemise piiramisest tuleks teavitada vastuvõtjaid, kellele isikuandmed on avaldatud, ning pädevaid asutusi, kellelt ebaõiged andmed pärinevad. Samuti peaksid vastutavad töötlejad hoiduma selliste andmete edasisest levitamisest. |
| (48) | Where the controller denies a data subject his or her right to information, access to or rectification or erasure of personal data or restriction of processing, the data subject should have the right to request that the national supervisory authority verify the lawfulness of the processing. The data subject should be informed of that right. Where the supervisory authority acts on behalf of the data subject, the data subject should be informed by the supervisory authority at least that all necessary verifications or reviews by the supervisory authority have taken place. The supervisory authority should also inform the data subject of the right to seek a judicial remedy. | (48) | Kui vastutav töötleja jätab andmesubjekti ilma tema õigusest saada teavet, isikuandmetega tutvuda või neid parandada, kustutada või piirata nende töötlemist, peaks andmesubjektil olema õigus taotleda riigi järelevalveasutuselt töötlemise seaduslikkuse kontrollimist. Andmesubjekti tuleks nimetatud õigusest teavitada. Kui järelevalveasutus tegutseb andmesubjekti nimel, peaks järelevalveasutus teatama andmesubjektile vähemalt seda, et ta on teostanud kogu vajaliku kontrolli või kõik vajalikud läbivaatused. Järelevalveasutus peaks ühtlasi teavitama andmesubjekti õigusest kasutada õiguskaitsevahendit. |
| (49) | Where the personal data are processed in the course of a criminal investigation and court proceedings in criminal matters, Member States should be able to provide that the exercise the right to information, access to and rectification or erasure of personal data and restriction of processing is carried out in accordance with national rules on judicial proceedings. | (49) | Kui isikuandmeid töödeldakse kriminaaluurimise ja kriminaalkohtumenetluse käigus, peaks liikmesriikidel olema võimalik ette näha, et teabe saamise, isikuandmetega tutvumise ja nende parandamise, kustutamise ja nende töötlemise piiramise õigust teostatakse vastavalt kohtumenetlust käsitlevatele liikmesriigi õigusnormidele. |
| (50) | The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and should be able to demonstrate that processing activities are in compliance with this Directive. Such measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons. The measures taken by the controller should include drawing up and implementing specific safeguards in respect of the treatment of personal data of vulnerable natural persons, such as children. | (50) | Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva direktiiviga. Selliste meetmete puhul tuleks arvestada isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele. Vastutava töötleja võetavad meetmed peaksid hõlmama kaitsetute füüsiliste isikute, nagu laste isikuandmete töötlemist käsitlevate konkreetsete kaitsemeetmete väljatöötamist ja rakendamist. |
| (51) | The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of data protected by professional secrecy, unauthorised reversal of pseudonymisation or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs or trade union membership; where genetic data or biometric data are processed in order to uniquely identify a person or where data concerning health or data concerning sex life and sexual orientation or criminal convictions and offences or related security measures are processed; where personal aspects are evaluated, in particular analysing and predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects. | (51) | Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, varaline või mittevaraline kahju, eelkõige juhtudel, kui isikuandmete töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu, pseudonümiseerimise loata lõpetamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi või ametiühingusse kuulumist; kui töödeldakse geneetilisi või biomeetrilisi andmeid, et isik kordumatult tuvastada, või kui töödeldakse andmeid tervise, seksuaalelu või seksuaalse sättumuse kohta ning süüteolasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel ja prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eelkõige laste isikuandmeid, või kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte. |
| (52) | The likelihood and severity of the risk should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, through which it is established whether data-processing operations involve a high risk. A high risk is a particular risk of prejudice to the rights and freedoms of data subjects. | (52) | Ohtu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes isikuandmete töötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks, kas isikuandmete töötlemise toimingutega kaasneb suur oht. Suur oht on konkreetne andmesubjektide õiguste ja vabaduste kahjustamise oht. |
| (53) | The protection of the rights and freedoms of natural persons with regard to the processing of personal data requires that appropriate technical and organisational measures are taken, to ensure that the requirements of this Directive are met. The implementation of such measures should not depend solely on economic considerations. In order to be able to demonstrate compliance with this Directive, the controller should adopt internal policies and implement measures which adhere in particular to the principles of data protection by design and data protection by default. Where the controller has carried out a data protection impact assessment pursuant to this Directive, the results should be taken into account when developing those measures and procedures. The measures could consist, inter alia, of the use of pseudonymisation, as early as possible. The use of pseudonymisation for the purposes of this Directive can serve as a tool that could facilitate, in particular, the free flow of personal data within the area of freedom, security and justice. | (53) | Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva direktiivi nõuete täitmine. Selliste meetmete rakendamine ei tohiks sõltuda üksnes majanduslikest kaalutlustest. Selleks et olla võimeline tõendama käesoleva direktiivi täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis järgivad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid. Kui vastutav töötleja on teinud käesolevas direktiivis nõutud andmekaitsealase mõjuhinnangu, tuleks mainitud meetmete ja korra väljatöötamisel selle tulemusi arvesse võtta. Kõnealuste meetmete hulka võiks muu hulgas kuuluda pseudonümiseerimise võimalikult kiire kasutuselevõtmine. Pseudonümiseerimise kasutamine käesoleva direktiivi eesmärkidel võib olla vahend, mis võiks kaasa aidata isikuandmete vabale liikumisele vabadusel, turvalisusel ja õigusel rajaneva ala piires. |
| (54) | The protection of the rights and freedoms of data subjects as well as the responsibility and liability of controllers and processors, also in relation to the monitoring by and measures of supervisory authorities, requires a clear attribution of the responsibilities set out in this Directive, including where a controller determines the purposes and means of the processing jointly with other controllers or where a processing operation is carried out on behalf of a controller. | (54) | Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas seoses järelevalveasutuste teostatava järelevalve ja nende võetavate meetmetega eeldab käesolevas direktiivis sätestatud vastutusvaldkondade selget jaotamist, seda ka juhul, kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui isikuandmete töötlemise toimingut teostatakse vastutava töötleja nimel. |
| (55) | The carrying-out of processing by a processor should be governed by a legal act including a contract binding the processor to the controller and stipulating, in particular, that the processor should act only on instructions from the controller. The processor should take into account the principle of data protection by design and by default. | (55) | Isikuandmete töötlemine volitatud töötleja poolt peaks olema reguleeritud õigusaktiga, milles muu hulgas käsitletakse volitatud töötlejat ja vastutavat töötlejat omavahel siduvat lepingut ning sätestatakse eelkõige, et volitatud töötleja peaks tegutsema ainult vastavalt vastutava töötleja juhistele. Volitatud töötleja peaks arvesse võtma lõimitud ja vaikimisi andmekaitse põhimõtet. |
| (56) | In order to demonstrate compliance with this Directive, the controller or processor should maintain records regarding all categories of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records available to it on request, so that they might serve for monitoring those processing operations. The controller or the processor processing personal data in non-automated processing systems should have in place effective methods of demonstrating the lawfulness of the processing, of enabling self-monitoring and of ensuring data integrity and data security, such as logs or other forms of records. | (56) | Käesoleva direktiivi täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja dokumenteerima kõik tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute liigid. Iga vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema taotluse korral nimetatud dokumentatsiooni järelevalveasutusele kättesaadavaks, et seda saaks kasutada kõnealuste töötlemise toimingute järelevalveks. Isikuandmeid mitteautomatiseeritud töötlemissüsteemides töötlev vastutav töötleja või volitatud töötleja peaks kasutama tõhusaid meetodeid isikuandmete töötlemise seaduslikkuse tõendamiseks, siseseire võimaldamiseks ning andmete tervikluse ja turvalisuse tagamiseks, näiteks logide või muude säilitamisviiside kujul. |
| (57) | Logs should be kept at least for operations in automated processing systems such as collection, alteration, consultation, disclosure including transfers, combination or erasure. The identification of the person who consulted or disclosed personal data should be logged and from that identification it should be possible to establish the justification for the processing operations. The logs should solely be used for the verification of the lawfulness of the processing, self-monitoring, for ensuring data integrity and data security and criminal proceedings. Self-monitoring also includes internal disciplinary proceedings of competent authorities. | (57) | Logisid tuleks pidada vähemalt automatiseeritud töötlemissüsteemides tehtavate toimingute kohta, nagu andmete kogumine, muutmine, lugemine, avalikustamine, sealhulgas edastamine, ühendamine ja kustutamine. Logida tuleks isikuandmeid lugenud või avalikustanud isiku identifitseerimisandmed ja kõnealuste identifitseerimisandmete põhjal peaks olema võimalik kindlaks teha isikuandmete töötlemise toimingu põhjendus. Logisid tuleks kasutada üksnes isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, andmete tervikluse ja turvalisuse tagamiseks ning kriminaalmenetlustes. Siseseire hõlmab ka pädevate asutuste siseseid distsiplinaarmenetlusi. |
| (58) | A data protection impact assessment should be carried out by the controller where the processing operations are likely to result in a high risk to the rights and freedoms of data subjects by virtue of their nature, scope or purposes, which should include, in particular, the measures, safeguards and mechanisms envisaged to ensure the protection of personal data and to demonstrate compliance with this Directive. Impact assessments should cover relevant systems and processes of processing operations, but not individual cases. | (58) | Kui on tõenäoline, et isikuandmete töötlemise toimingute tõttu tekib suur oht andmesubjektide õigustele ja vabadustele nende laadi, ulatuse või eesmärkide tõttu, peaks vastutav töötleja teostama andmekaitsealase mõjuhinnangu, mis peaks konkreetsemalt sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme, et tagada isikuandmete kaitse ja tõendada vastavust käesolevale direktiivile. Mõjuhinnangud peaksid hõlmama isikuandmete töötlemise toimingute asjaomaseid süsteeme ja menetlusi, kuid mitte üksikjuhtumeid. |
| (59) | In order to ensure effective protection of the rights and freedoms of data subjects, the controller or processor should consult the supervisory authority, in certain cases, prior to the processing. | (59) | Selleks et tagada andmesubjekti õiguste ja vabaduste tõhus kaitse, peaks vastutav töötleja või volitatud töötleja teatavatel juhtudel enne isikuandmete töötlemise algust konsulteerima järelevalveasutusega. |
| (60) | In order to maintain security and to prevent processing that infringes this Directive, the controller or processor should evaluate the risks inherent in the processing and should implement measures to mitigate those risks, such as encryption. Such measures should ensure an appropriate level of security, including confidentiality and take into account the state of the art, the costs of implementation in relation to the risk and the nature of the personal data to be protected. In assessing data security risks, consideration should be given to the risks that are presented by data processing, such as the accidental or unlawful destruction, loss, alteration or unauthorised disclosure of or access to personal data transmitted, stored or otherwise processed, which may, in particular, lead to physical, material or non-material damage. The controller and processor should ensure that the processing of personal data is not carried out by unauthorised persons. | (60) | Turvalisuse tagamiseks ja käesolevat direktiivi rikkuva töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Selliste meetmetega tuleks tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, ja võtta arvesse teaduse ja tehnoloogia viimast arengut, ohule vastavaid rakenduskulusid ja kaitstavate isikuandmete laadi. Andmeturbeohtusid hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohtusid, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine või loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, varaline või mittevaraline kahju. Vastutav töötleja ja volitatud töötleja peaksid tagama, et isikuandmeid ei töötle volitamata isikud. |
| (61) | A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned. Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay. | (61) | Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, varalise või mittevaralise kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata lõpetamine, maine kahjustamine, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. Seetõttu, niipea kui vastutav töötleja saab teada, et toimunud on isikuandmetega seotud rikkumine, peaks ta sellest põhjendamatu viivituseta teatama järelevalveasutusele ning võimaluse korral 72 tunni jooksul pärast rikkumisest teada saamist, välja arvatud juhul kui vastutav töötleja saab kooskõlas vastutamise põhimõttega tõendada, et rikkumise tulemusena ei teki tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele. Kui 72 tunni jooksul ei ole võimalik teatada, tuleks teatisele lisada viivituse põhjused ning selle teabe võib anda järk-järgult ilma põhjendamatu viivituseta. |
| (62) | Natural persons should be informed without undue delay where the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, in order to allow them to take the necessary precautions. The communication should describe the nature of the personal data breach and include recommendations for the natural person concerned to mitigate potential adverse effects. Communication to data subjects should be made as soon as reasonably feasible, in close cooperation with the supervisory authority, and respecting guidance provided by it or other relevant authorities. For example, the need to mitigate an immediate risk of damage would call for a prompt communication to data subjects, whereas the need to implement appropriate measures against continuing or similar data breaches may justify more time for the communication. Where avoiding obstruction of official or legal inquiries, investigations or procedures, avoiding prejudice to the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties, protecting public security, protecting national security or protecting the rights and freedoms of others cannot be achieved by delaying or restricting the communication of a personal data breach to the natural person concerned, such communication could, in exceptional circumstances, be omitted. | (62) | Füüsilist isikut tuleks põhjendamatu viivituseta teavitada, kui isikuandmetega seotud rikkumise tulemusena tekib tõenäoliselt suur oht füüsilise isiku õigustele ja vabadustele, et ta saaks võtta vajalikke ettevaatusabinõusid. Teatises tuleks kirjeldada isikuandmetega seotud rikkumise olemust ning anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teatis tuleks saata andmesubjektile nii kiiresti kui mõistlikkuse piires võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjaomaste asutuste suunistest. Näiteks kahju tekkimise otsese ohtu leevendamise vajadus nõuaks andmesubjekti kohest teavitamist, samal ajal kui vajadus rakendada asjakohaseid meetmeid isikuandmetega seonduvate rikkumiste jätkumise või samalaadsete rikkumiste ärahoidmiseks võib õigustada hilisemat teavitamist. Kui asjaomase füüsilise isiku isikuandmetega seotud rikkumistest teavitamisega viivitamisega või teavitamise piiramisega ei ole võimalik vältida ametlike või õiguslike päringute, uurimiste või menetluste takistamist, süütegude tõkestamise, avastamise, uurimise või nende eest vastutusele võtmise kahjustamist või saavutada kriminaalkaristuste täitmisele pööramist, avaliku julgeoleku või riigi julgeoleku kaitsmist või teiste isikute õiguste ja vabaduste kaitsmist, võib erakorralisel juhul jätta andmesubjekti selliselt teavitamata. |
| (63) | The controller should designate a person who would assist it in monitoring internal compliance with the provisions adopted pursuant to this Directive, except where a Member State decides to exempt courts and other independent judicial authorities when acting in their judicial capacity. That person could be a member of the existing staff of the controller who received special training in data protection law and practice in order to acquire expert knowledge in that field. The necessary level of expert knowledge should be determined, in particular, according to the data processing carried out and the protection required for the personal data processed by the controller. His or her task could be carried out on a part-time or full-time basis. A data protection officer may be appointed jointly by several controllers, taking into account their organisational structure and size, for example in the case of shared resources in central units. That person can also be appointed to different positions within the structure of the relevant controllers. That person should help the controller and the employees processing personal data by informing and advising them on compliance with their relevant data protection obligations. Such data protection officers should be in a position to perform their duties and tasks in an independent manner in accordance with Member State law. | (63) | Vastutav töötleja peaks määrama isiku, kes aitab tal valvata käesoleva direktiivi kohaselt vastu võetud sätete asutusesisese täitmise järele, välja arvatud juhul, kui liikmesriik otsustab vabastada sellest kohustusest kohtud ja muud sõltumatud õigusasutused menetlusotsuste tegemisel. Nimetatud isik võib olla vastutava töötleja olemasoleva personali hulka kuuluv töötaja, kes on saanud andmekaitsealase õiguse ja tava kohta eriväljaõppe, et omandada kõnealases valdkonnas ekspertteadmised. Ekspertteadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt isikuandmete töötlemise laadile ning vastutava töötleja töödeldavate isikuandmete kaitsmise nõuetele. Tema ülesannete täitmine võib toimuda osalise tööaja või täistööaja alusel. Mitu vastutavat töötlejat võivad ühiselt määrata ühe andmekaitseametniku, võttes arvesse nende asutuste organisatsioonilist struktuuri ja suurust, näiteks juhul, kui keskasutuses on ühised vahendid. Nimetatud isiku võib asjaomaste vastutavate töötlejate struktuuris määrata erinevatele ametikohtadele. Nimetatud isik peaks aitama vastutavat töötlejat ja isikuandmeid töötlevaid töötajaid, andes neile teavet ja nõu asjakohaste isikuandmete kaitse kohustuste täitmise kohta. Sellistel andmekaitseametnikel peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatult kooskõlas liikmesriigi õigusega. |
| (64) | Member States should ensure that a transfer to a third country or to an international organisation takes place only if necessary for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, and that the controller in the third country or international organisation is an authority competent within the meaning of this Directive. A transfer should be carried out only by competent authorities acting as controllers, except where processors are explicitly instructed to transfer on behalf of controllers. Such a transfer may take place in cases where the Commission has decided that the third country or international organisation in question ensures an adequate level of protection, where appropriate safeguards have been provided, or where derogations for specific situations apply. Where personal data are transferred from the Union to controllers, to processors or to other recipients in third countries or international organisations, the level of protection of natural persons provided for in the Union by this Directive should not be undermined, including in cases of onward transfers of personal data from the third country or international organisation to controllers or processors in the same or in another third country or international organisation. | (64) | Liikmesriigid peaksid tagama, et isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui see on vajalik süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, ja kui kolmanda riigi või rahvusvahelise organisatsiooni vastutav töötleja on käesoleva direktiivi tähenduses pädev asutus. Andmeid peaks edastama üksnes vastutava töötlejana tegutsev pädev asutus, välja arvatud juhul, kui volitatud töötlejale on antud sõnaselge korraldus edastada andmeid vastutava töötleja nimel. Isikuandmeid võib selliselt edastada juhul, kui komisjon on teinud otsuse, et kolmas riik või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme, kui on kehtestatud piisavad kaitsemeetmed või kui kohaldatakse erandeid eriolukordades. Isikuandmete edastamisel liidust vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele ei tohiks kahjustada käesoleva direktiiviga tagatud füüsiliste isikute kaitse taset liidus, sealhulgas juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis. |
| (65) | Where personal data are transferred from a Member State to third countries or international organisations, such a transfer should, in principle, take place only after the Member State from which the data were obtained has given its authorisation to the transfer. The interests of efficient law-enforcement cooperation require that where the nature of a threat to the public security of a Member State or a third country or to the essential interests of a Member State is so immediate as to render it impossible to obtain prior authorisation in good time, the competent authority should be able to transfer the relevant personal data to the third country or international organisation concerned without such a prior authorisation. Member States should provide that any specific conditions concerning the transfer should be communicated to third countries or international organisations. Onward transfers of personal data should be subject to prior authorisation by the competent authority that carried out the original transfer. When deciding on a request for the authorisation of an onward transfer, the competent authority that carried out the original transfer should take due account of all relevant factors, including the seriousness of the criminal offence, the specific conditions subject to which, and the purpose for which, the data was originally transferred, the nature and conditions of the execution of the criminal penalty, and the level of personal data protection in the third country or an international organisation to which personal data are onward transferred. The competent authority that carried out the original transfer should also be able to subject the onward transfer to specific conditions. Such specific conditions can be described, for example, in handling codes. | (65) | Kui liikmesriik edastab isikuandmeid kolmandatele riikidele või rahvusvahelistele organisatsioonidele, peaks seda põhimõtteliselt tegema alles pärast seda, kui liikmesriik, kust andmed saadi, on andnud nende edastamiseks loa. Tõhusa õiguskaitsealase koostöö huvides on vaja, et kui liikmesriigi või kolmanda riigi avalikku julgeolekut või liikmesriigi olulisi huve ähvardav oht on olemuselt nii vahetu, et ei ole võimalik õigeaegselt eelnevat luba saada, peaks pädeval asutusel olema võimalik edastada asjakohased isikuandmed asjaomasele kolmandale riigile või rahvusvahelisele organisatsioonile ilma sellise eelneva loata. Liikmesriigid peaksid sätestama, et edastamist käsitlevad eritingimused tuleks saata kolmandatele riikidele või rahvusvahelistele organisatsioonidele. Isikuandmete edasi saatmise tingimuseks peaks olema andmed algselt edastanud pädeva asutuse eelnev luba. Tehes otsust andmete edasi saatmiseks loa saamise taotluse kohta, peaks algselt andmed edastanud pädev asutus võtma nõuetekohaselt arvesse kõiki asjakohaseid tegureid, muu hulgas süüteo raskust, kohalduvaid eritingimusi ja andmete algse edastamise eesmärki, kriminaalkaristuse täitmisele pööramise laadi ja tingimusi ning isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse. Peale selle peaks andmed algselt edastanud pädev asutus saama kehtestada andmete edasisaatmisele eritingimusi. Sellised eritingimusi võib kirjeldada näiteks menetluskoodide kehtestamisel. |
| (66) | The Commission should be able to decide with effect for the entire Union that certain third countries, a territory or one or more specified sectors within a third country, or an international organisation, offer an adequate level of data protection, thus providing legal certainty and uniformity throughout the Union as regards the third countries or international organisations which are considered to provide such a level of protection. In such cases, transfers of personal data to those countries should be able to take place without the need to obtain any specific authorisation, except where another Member State from which the data were obtained has to give its authorisation to the transfer. | (66) | Komisjon peaks saama kogu liitu puudutavalt otsustada, et teatav kolmas riik, kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon pakuvad isikuandmete kaitset piisaval tasemel, tagades seega kogu liidus õiguskindluse ja ühtsuse nende kolmandate riikide ja rahvusvaheliste organisatsioonide osas, mille puhul loetakse, et nad tagavad isikuandmete kaitse piisaval tasemel. Sellisel juhul võib isikuandmeid edastada kõnealustesse riikidesse ilma eriloata, välja arvatud juhul, kui muu liikmesriik, kust andmed saadi, peab andma edastamiseks loa. |
| (67) | In line with the fundamental values on which the Union is founded, in particular the protection of human rights, the Commission should, in its assessment of the third country, or of a territory or specified sector within a third country, take into account how a particular third country respects the rule of law, access to justice as well as international human rights norms and standards and its general and sectoral law, including legislation concerning public security, defence and national security, as well as public order and criminal law. The adoption of an adequacy decision with regard to a territory or a specified sector in a third country should take into account clear and objective criteria, such as specific processing activities and the scope of applicable legal standards and legislation in force in the third country. The third country should offer guarantees ensuring an adequate level of protection essentially equivalent to that ensured within the Union, in particular where data are processed in one or several specific sectors. In particular, the third country should ensure effective independent data protection supervision and provide for cooperation mechanisms with the Member States' data protection authorities, and the data subjects should be provided with effective and enforceable rights and effective administrative and judicial redress. | (67) | Kooskõlas põhiväärtustega, millele liit on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi või kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori hindamisel arvesse võtma seda, kuidas konkreetne kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest ning oma üldistest ja valdkondlikest õigusaktidest, sealhulgas õigusaktidest, mis käsitlevad avalikku julgeolekut, riigikaitset ja riiklikku julgeolekut, samuti avalikku korda ja kriminaalõigust. Võttes vastu kaitse piisavuse otsust seoses kolmanda riigi territooriumi või kindlaksmääratud sektoriga, tuleks arvesse võtta selgeid ja objektiivseid kriteeriume, näiteks konkreetseid isikuandmete töötlemise toiminguid ja kohaldatavate õigusnormide kohaldamisala ning kolmandas riigis kehtivaid õigusakte. Kolmas riik peaks võtma kohustuse tagada piisav kaitse tase, mis sisuliselt vastab liidus tagatava kaitse tasemele, eelkõige juhul, kui andmeid töödeldakse ühes või mitmes kindlaksmääratud sektoris. Eelkõige peaks kolmas riik tagama andmete kaitse tõhusa ja sõltumatu järelevalve ning nägema ette liikmesriikide andmekaitseasutustega tehtava koostöö mehhanismid, samuti tuleks andmesubjektidele tagada tõhusad ja kohtulikult kaitstavad õigused ning tõhus haldus- ja õiguskaitse. |
| (68) | Apart from the international commitments the third country or international organisation has entered into, the Commission should also take account of obligations arising from the third country's or international organisation's participation in multilateral or regional systems, in particular in relation to the protection of personal data, as well as the implementation of such obligations. In particular the third country's accession to the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to the Automatic Processing of Personal Data and its Additional Protocol should be taken into account. The Commission should consult with the European Data Protection Board established by Regulation (EU) 2016/679 (the ‘Board’) when assessing the level of protection in third countries or international organisations. The Commission should also take into account any relevant Commission adequacy decision adopted in accordance with Article 45 of Regulation (EU) 2016/679. | (68) | Lisaks kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelistele kohustustele peaks komisjon võtma arvesse ka kohustusi, mis tulenevad kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega, samuti selliste kohustuste rakendamist. Eelkõige tuleks arvesse võtta kolmanda riigi ühinemist Euroopa Nõukogu 28. jaanuari 1981. aasta isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni ja selle lisaprotokolliga. Kolmandate riikide või rahvusvaheliste organisatsioonide kaitse taseme hindamisel peaks komisjon konsulteerima määrusega (EL) 2016/679 asutatud Euroopa Andmekaitsenõukoguga („andmekaitsenõukogu“). Samuti peaks komisjon arvesse võtma kõiki asjaomaseid määruse (EL) 2016/679 artikli 45 kohaselt vastu võetud komisjoni otsuseid kaitse piisavuse kohta. |
| (69) | The Commission should monitor the functioning of decisions on the level of protection in a third country, a territory or a specified sector within a third country, or an international organisation. In its adequacy decisions, the Commission should provide for a periodic review mechanism of their functioning. That periodic review should be undertaken in consultation with the third country or international organisation in question and should take into account all relevant developments in the third country or international organisation. | (69) | Komisjon peaks valvama nende otsuste toimimise järele, milles käsitletakse kaitse taset kolmandas riigis või kolmanda riigi territooriumil või kolmanda riigi kindlaksmääratud sektoris või rahvusvahelises organisatsioonis. Komisjon peaks kaitse piisavuse otsustes nägema ette nende toimimise korrapärase läbivaatamise mehhanismi. Nimetatud korrapärane läbivaatamine peaks toimuma asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsulteerides ning arvesse tuleks võtta kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. |
| (70) | The Commission should also be able to recognise that a third country, a territory or a specified sector within a third country, or an international organisation, no longer ensures an adequate level of data protection. Consequently, the transfer of personal data to that third country or international organisation should be prohibited unless the requirements in this Directive relating to transfers subject to appropriate safeguards and derogations for specific situations are fulfilled. Provision should be made for procedures for consultations between the Commission and such third countries or international organisations. The Commission should, in a timely manner, inform the third country or international organisation of the reasons and enter into consultations with it in order to remedy the situation. | (70) | Komisjonil peaks samuti olema võimalik tunnistada, et kolmas riik, kolmanda riigi territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel andmekaitset. Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile või rahvusvahelisele organisatsioonile keelata, välja arvatud juhul, kui täidetakse käesoleva direktiivi nõudeid edastamisel kasutatavate asjakohaste kaitsemeetmete kohta ja erandite kohta eriolukordades. Ette tuleks näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni vahelise konsulteerimise kord. Komisjon peaks kolmandat riiki või rahvusvahelist organisatsiooni õigeaegselt põhjustest teavitama ja alustama nendega konsultatsioone, et olukorda parandada. |
| (71) | Transfers not based on such an adequacy decision should be allowed only where appropriate safeguards have been provided in a legally binding instrument which ensures the protection of personal data or where the controller has assessed all the circumstances surrounding the data transfer and, on the basis of that assessment, considers that appropriate safeguards with regard to the protection of personal data exist. Such legally binding instruments could, for example, be legally binding bilateral agreements which have been concluded by the Member States and implemented in their legal order and which could be enforced by their data subjects, ensuring compliance with data protection requirements and the rights of the data subjects, including the right to obtain effective administrative or judicial redress. The controller should be able to take into account cooperation agreements concluded between Europol or Eurojust and third countries which allow for the exchange of personal data when carrying out the assessment of all the circumstances surrounding the data transfer. The controller should be able to also take into account the fact that the transfer of personal data will be subject to confidentiality obligations and the principle of specificity, ensuring that the data will not be processed for other purposes than for the purposes of the transfer. In addition, the controller should take into account that the personal data will not be used to request, hand down or execute a death penalty or any form of cruel and inhuman treatment. While those conditions could be considered to be appropriate safeguards allowing the transfer of data, the controller should be able to require additional safeguards. | (71) | Isikuandmete edastamine ilma kaitse piisavuse otsuseta peaks olema lubatud üksnes juhul, kui õiguslikult siduvas aktis on sätestatud isikuandmete kaitseks asjakohased kaitsemeetmed või kui vastutav töötleja, olles hinnanud kõiki andmete edastamisega seotud asjaolusid, on kõnealusest hinnangust lähtudes seisukohal, et isikuandmete kaitseks vajalikud kaitsemeetmed on võetud. Selline õiguslikult siduv akt võiks näiteks olla õiguslikult siduv kahepoolne leping, mille sõlmivad liikmesriigid ja mida rakendatakse nende õiguskorras ning mida võivad jõustada nende andmesubjektid, tagades andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, mis hõlmab õigust tõhusale haldus- või õiguskaitsele. Andmete edastamist puudutavate kõigi asjaolude hindamisel peaks vastutav töötleja saama võtta arvesse Europoli või Eurojusti ja kolmandate riikide vahel sõlmitud koostöökokkuleppeid, mis võimaldavad isikuandmete vahetamist. Vastutav töötleja peaks saama võtta arvesse ka asjaolu, et isikuandmete edastamisele kohaldatakse konfidentsiaalsuse kohustust ja sihtotstarbelisuse põhimõtet, millega tagatakse, et andmeid ei töödelda muul kui edastamisega seotud eesmärgil. Lisaks peaks vastutav töötleja võtma arvesse seda, et isikuandmeid ei kasutata selleks, et taotleda surmanuhtlust või muud julma ja ebainimlikku kohtlemist, anda selleks käsk või viia see täide. Kuigi kõnealuseid tingimusi võib lugeda asjakohasteks kaitsemeetmeteks, mis võimaldavad andmete edastamist, peaks vastutav töötleja saama nõuda täiendavaid kaitsemeetmeid. |
| (72) | Where no adequacy decision or appropriate safeguards exist, a transfer or a category of transfers could take place only in specific situations, if necessary to protect the vital interests of the data subject or another person, or to safeguard legitimate interests of the data subject where the law of the Member State transferring the personal data so provides; for the prevention of an immediate and serious threat to the public security of a Member State or a third country; in an individual case for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security; or in an individual case for the establishment, exercise or defence of legal claims. Those derogations should be interpreted restrictively and should not allow frequent, massive and structural transfers of personal data, or large-scale transfers of data, but should be limited to data strictly necessary. Such transfers should be documented and should be made available to the supervisory authority on request in order to monitor the lawfulness of the transfer. | (72) | Kaitse piisavuse otsuse või asjakohaste kaitsemeetmete puudumise korral võivad edastamine või teatud kategooriasse kuuluvad edastamistoimingud toimuda üksnes eriolukordades, kui see on vajalik selleks, et kaitsta andmesubjekti või muu isiku elulisi huve või tagada andmesubjekti õigustatud huvid, kui isikuandmeid edastava liikmesriigi õiguses on nii sätestatud või kui see on vajalik, et vältida vahetut ja tõsist ohtu liikmesriigi või kolmanda riigi avalikule julgeolekule, või see on üksikjuhtumi korral vajalik süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, või kui see on üksikjuhtumi korral vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. Kõnealuseid erandeid tuleks tõlgendada kitsalt ning need ei tohiks võimaldada isikuandmete sagedast, ulatuslikku ja struktuurset edastamist ega andmete suuremahulist edastamist, vaid peaks piirduma rangelt vajalike andmetega. Selline edastamine tuleks dokumenteerida ning need dokumendid tuleks teha järelevalveasutusele taotluse korral kättesaadavaks, et valvata edastamise seaduslikkuse järele. |
| (73) | Competent authorities of Member States apply bilateral or multilateral international agreements in force, concluded with third countries in the field of judicial cooperation in criminal matters and police cooperation, for the exchange of relevant information to allow them to perform their legally assigned tasks. In principle, this takes place through, or at least with, the cooperation of the authorities competent in the third countries concerned for the purposes of this Directive, sometimes even in the absence of a bilateral or multilateral international agreement. However, in specific individual cases, the regular procedures requiring contacting such an authority in the third country may be ineffective or inappropriate, in particular because the transfer could not be carried out in a timely manner, or because that authority in the third country does not respect the rule of law or international human rights norms and standards, so that competent authorities of Member States could decide to transfer personal data directly to recipients established in those third countries. This may be the case where there is an urgent need to transfer personal data to save the life of a person who is in danger of becoming a victim of a criminal offence or in the interest of preventing an imminent perpetration of a crime, including terrorism. Even if such a transfer between competent authorities and recipients established in third countries should take place only in specific individual cases, this Directive should provide for conditions to regulate such cases. Those provisions should not be considered to be derogations from any existing bilateral or multilateral international agreements in the field of judicial cooperation in criminal matters and police cooperation. Those rules should apply in addition to the other rules of this Directive, in particular those on the lawfulness of processing and Chapter V. | (73) | Liikmesriikide pädevad asutused kohaldavad kolmandate riikidega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal sõlmitud kehtivaid kahepoolseid või mitmepoolseid rahvusvahelisi lepinguid, et vahetada asjakohast teavet, mis võimaldab neil täita neile seaduslikult antud ülesandeid. Põhimõtteliselt toimub see asjaomaste kolmandate riikide asutuste kaudu, kes on pädevad käesoleva direktiivi eesmärkidel, või vähemalt nendega koostöös, mõnikord isegi ilma, et oleks sõlmitud kahepoolne või mitmepoolne rahvusvaheline leping. Siiski võib konkreetsetel üksikjuhtudel juhtuda, et tavapärased menetlused, mis nõuavad ühenduse võtmist sellise kolmanda riigi asutusega, ei ole mõjusad või asjakohased, eelkõige seetõttu, et andmeid ei saaks edastada õigeaegselt, või seetõttu, et kõnealune kolmanda riigi asutus ei austa õigusriigi põhimõtet või rahvusvahelisi inimõigustealaseid norme ja standardeid, mistõttu liikmesriikide pädevad asutused võiksid otsustada edastada isikuandmed otse kõnealustes kolmandates riikides asuvatele vastuvõtjatele. Selline olukord võib tekkida siis, kui isikuandmeid on vaja edastada kiiresti, et päästa süüteo ohvriks langemise ohus oleva isiku elu või hoida ära lähiajal toimepandav kuritegu, sealhulgas terroriakt. Isegi juhul, kui selliselt edastataks andmeid pädevate asutuste ja kolmandates riikides asuvate vastuvõtjate vahel üksnes konkreetsetel üksikjuhtudel, tuleks käesolevas direktiivis ette näha tingimused selliste juhtude reguleerimiseks. Nimetatud sätteid ei tuleks käsitleda erandina ühestki kehtivast kahepoolsest või mitmepoolsest rahvusvahelisest lepingust kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal. Nimetatud põhimõtteid tuleks kohaldada lisaks käesoleva direktiivi muudele normidele, eelkõige töötlemise seaduslikkust käsitlevatele ja V peatükis sisalduvatele normidele. |
| (74) | Where personal data move across borders it may put at increased risk the ability of natural persons to exercise data protection rights to protect themselves from the unlawful use or disclosure of those data. At the same time, supervisory authorities may find that they are unable to pursue complaints or conduct investigations relating to the activities outside their borders. Their efforts to work together in the cross-border context may also be hampered by insufficient preventative or remedial powers and inconsistent legal regimes. Therefore, there is a need to promote closer cooperation among data protection supervisory authorities to help them exchange information with their foreign counterparts. | (74) | Isikuandmete liikumine üle piiride võib raskendada füüsiliste isikute võimalusi kasutada oma isikuandmete kaitse õigust, et kaitsta end kõnealuste andmete ebaseadusliku kasutamise ja avalikustamise eest. Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega toimetada uurimist väljapoole oma riigi piire jäävates küsimustes. Järelevalveasutuste piiriülese koostöö püüdlusi võivad takistada ka ebapiisavad volitused tõkestamiseks ja kaitsemeetmete võtmiseks ning õiguskordade erinevused. Seepärast on vaja tihendada andmekaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet teiste riikide järelevalveasutustega. |
| (75) | The establishment in Member States of supervisory authorities that are able to exercise their functions with complete independence is an essential component of the protection of natural persons with regard to the processing of their personal data. The supervisory authorities should monitor the application of the provisions adopted pursuant to this Directive and should contribute to their consistent application throughout the Union in order to protect natural persons with regard to the processing of their personal data. To that end, the supervisory authorities should cooperate with each other and with the Commission. | (75) | Liikmesriikides täiesti sõltumatult oma tööülesandeid täita saavate järelevalveasutuste loomine on oluline, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Järelevalveasutused peaksid valvama käesoleva direktiivi kohaldamise järele ja aitama kaasa selle järjekindlale kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga. |
| (76) | Member States may entrust a supervisory authority already established under Regulation (EU) 2016/679 with the responsibility for the tasks to be performed by the national supervisory authorities to be established under this Directive. | (76) | Liikmesriigid võivad panna määruse (EL) 2016/679 kohaselt juba loodud järelevalveasutustele ülesande täita käesoleva direktiivi kohaselt loodavate riiklike järelevalveasutuste ülesandeid. |
| (77) | Member States should be allowed to establish more than one supervisory authority to reflect their constitutional, organisational and administrative structure. Each supervisory authority should be provided with the financial and human resources, premises and infrastructure, which are necessary for the effective performance of their tasks, including for the tasks related to mutual assistance and cooperation with other supervisory authorities throughout the Union. Each supervisory authority should have a separate, public annual budget, which may be part of the overall state or national budget. | (77) | Liikmesriikidel peaks olema õigus luua mitu järelevalveasutust vastavalt nende põhiseaduslikule, organisatsioonilisele ja haldusstruktuurile. Igale järelevalveasutusele tuleks anda rahalised ja inimressursid, ruumid ja taristu, mis on vajalikud nende ülesannete, sealhulgas kogu liidus teiste järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks. Igal järelevalveasutusel peaks olema eraldi avalik aastaeelarve, mis võib olla piirkonna või riigi üldeelarve osa. |
| (78) | Supervisory authorities should be subject to independent control or monitoring mechanisms regarding their financial expenditure, provided that such financial control does not affect their independence. | (78) | Järelevalveasutustele tuleks nende rahaliste kulutuste osas kohaldada sõltumatuid kontrolli- või järelevalvemehhanisme, tingimusel et selline finantskontroll ei mõjuta nende sõltumatust. |
| (79) | The general conditions for the member or members of the supervisory authority should be laid down by Member State law and should in particular provide that those members should be either appointed by the parliament or the government or the head of State of the Member State based on a proposal from the government or a member of the government, or the parliament or its chamber, or by an independent body entrusted by Member State law with the appointment by means of a transparent procedure. In order to ensure the independence of the supervisory authority, the member or members should act with integrity, should refrain from any action incompatible with their duties and should not, during their term of office, engage in any incompatible occupation, whether gainful or not. In order to ensure the independence of the supervisory authority, the staff should be chosen by the supervisory authority which may include an intervention by an independent body entrusted by Member State law. | (79) | Järelevalveasutuse liikmele või liikmetele esitatavad üldtingimused tuleks kehtestada liikmesriigi õigusega ning neis tuleks eelkõige ette näha see, et liikmed peaks valitsuse või valitsuse liikme või parlamendi või parlamendi koja ettepaneku alusel nimetama läbipaistva menetluse teel ametisse liikmesriigi parlament või valitsus või riigipea või liikmesriigi õiguse kohaselt volitatud sõltumatu asutus. Järelevalveasutuse sõltumatuse tagamiseks peaks liige või liikmed käituma ausalt, hoiduma oma kohustustega kokkusobimatust tegevusest ja ei peaks töötama oma ametiaja jooksul ühelgi oma kohustustega kokkusobimatul tasustataval ega mittetasustataval ametikohal. Järelevalveasutuse sõltumatuse tagamiseks peaks töötajad valima järelevalveasutus, kes võib selleks kaasata liikmesriigi õiguse kohaselt volitatud sõltumatu asutuse. |
| (80) | While this Directive applies also to the activities of national courts and other judicial authorities, the competence of the supervisory authorities should not cover the processing of personal data where courts are acting in their judicial capacity, in order to safeguard the independence of judges in the performance of their judicial tasks. That exemption should be limited to judicial activities in court cases and not apply to other activities where judges might be involved in accordance with Member State law. Member States should also be able to provide that the competence of the supervisory authority does not cover the processing of personal data of other independent judicial authorities when acting in their judicial capacity, for example public prosecutor's office. In any event, the compliance with the rules of this Directive by the courts and other independent judicial authorities is always subject to independent supervision in accordance with Article 8(3) of the Charter. | (80) | Kuigi käesolevat direktiivi kohaldatakse ka liikmesriikide kohtute ja muude õigusasutuste tegevuse suhtes, ei tohiks järelevalveasutuste pädevus hõlmata isikuandmete töötlemist, kui kohtud täidavad õigusemõistmise funktsiooni, et kaitsta kohtunike sõltumatust nende õigusemõistmise funktsiooni täitmisel. Kõnealune erand peaks piirduma õiguskaitseasutuste tegevusega kohtuasjades ega tohiks laieneda muule tegevusele, millega kohtunikud on seotud vastavalt liikmesriigi õigusele. Samuti peaks liikmesriikidel olema võimalik sätestada, et järelevalveasutuse pädevus ei hõlma isikuandmete töötlemist muu sõltumatu õigusasutuse, näiteks prokuratuuri poolt, kui ta teeb menetlusotsuseid. Igal juhul kohaldatakse käesoleva direktiivi normide täitmise suhtes kohtute ja muude sõltumatute õigusasutuste poolt alati sõltumatut järelevalvet kooskõlas harta artikli 8 lõikega 3. |
| (81) | Each supervisory authority should handle complaints lodged by any data subject and should investigate the matter or transmit it to the competent supervisory authority. The investigation following a complaint should be carried out, subject to judicial review, to the extent that is appropriate in the specific case. The supervisory authority should inform the data subject of the progress and the outcome of the complaint within a reasonable period. If the case requires further investigation or coordination with another supervisory authority, intermediate information should be provided to the data subject. | (81) | Järelevalveasutus peaks käsitlema andmesubjekti poolt esitatud kaebusi ja küsimust uurima või edastama selle pädevale järelevalveasutusele. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks andmesubjekti sellest teavitada. |
| (82) | In order to ensure effective, reliable and consistent monitoring of compliance with and enforcement of this Directive throughout the Union pursuant to the TFEU as interpreted by the Court of Justice, the supervisory authorities should have in each Member State the same tasks and effective powers, including investigative, corrective, and advisory powers which constitute necessary means to perform their tasks. However, their powers should not interfere with specific rules for criminal proceedings, including investigation and prosecution of criminal offences, or the independence of the judiciary. Without prejudice to the powers of prosecutorial authorities under Member State law, supervisory authorities should also have the power to bring infringements of this Directive to the attention of the judicial authorities or to engage in legal proceedings. The powers of supervisory authorities should be exercised in accordance with appropriate procedural safeguards laid down by Union and Member State law, impartially, fairly and within a reasonable time. In particular each measure should be appropriate, necessary and proportionate in view of ensuring compliance with this Directive, taking into account the circumstances of each individual case, respect the right of every person to be heard before any individual measure that would adversely affect the person concerned is taken, and avoiding superfluous costs and excessive inconvenience to the person concerned. Investigative powers as regards access to premises should be exercised in accordance with specific requirements in Member State law, such as the requirement to obtain a prior judicial authorisation. The adoption of a legally binding decision should be subject to judicial review in the Member State of the supervisory authority that adopted the decision. | (82) | Selleks et tagada kogu liidus mõjus, usaldusväärne ja sidus käesoleva direktiivi järgimise järelevalve ja selle tagamine kooskõlas ELi toimimise lepinguga, nagu seda tõlgendab Euroopa Kohus, peaks järelevalveasutustel olema igas liikmesriigis samad ülesanded ja tegelikud volitused, sealhulgas uurimis-, parandus- ja nõuandevolitused, mis on nendele antud ülesannete täitmiseks vajalikud. Nende volitused ei tohiks aga mõjutada kriminaalmenetluse, sealhulgas süütegude uurimise ja nende eest vastutusele võtmise kohta sätestatud erinorme ega kohtusüsteemi sõltumatust. Ilma et see mõjutaks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, peaksid järelevalveasutused olema ka volitatud tegema käesoleva direktiivi rikkumised teatavaks õigusasutustele või osalema kohtumenetluses. Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriigi õigusega sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul. Eelkõige peaks iga meede olema asjakohane, vajalik ja proportsionaalne käesoleva direktiivi järgimise tagamise seisukohast, võttes arvesse üksikjuhtumi asjaolusid, austama iga isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele. Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi õiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue. Õiguslikult siduva otsuse vastuvõtmisele tuleks kohaldada kohtulikku kontrolli otsuse vastu võtnud järelevalveasutuse liikmesriigis. |
| (83) | The supervisory authorities should assist one another in performing their tasks and provide mutual assistance, so as to ensure the consistent application and enforcement of the provisions adopted pursuant to this Directive. | (83) | Järelevalveasutused peaksid üksteist oma ülesannete täitmisel abistama ja andma vastastikust abi, et tagada käesoleva direktiivi kohaselt vastu võetud sätete järjekindel kohaldamine ja täitmine. |
| (84) | The Board should contribute to the consistent application of this Directive throughout the Union, including advising the Commission and promoting the cooperation of the supervisory authorities throughout the Union. | (84) | Andmekaitsenõukogu peaks aitama kaasa käesoleva direktiivi järjekindlale kohaldamisele kogu liidus, sealhulgas nõustades komisjoni ja edendades järelevalveasutuste koostööd kogu liidus. |
| (85) | Every data subject should have the right to lodge a complaint with a single supervisory authority and to an effective judicial remedy in accordance with Article 47 of the Charter where the data subject considers that his or her rights under provisions adopted pursuant to this Directive are infringed or where the supervisory authority does not act on a complaint, partially or wholly rejects or dismisses a complaint or does not act where such action is necessary to protect the rights of the data subject. The investigation following a complaint should be carried out, subject to judicial review, to the extent that is appropriate in the specific case. The competent supervisory authority should inform the data subject of the progress and the outcome of the complaint within a reasonable period. If the case requires further investigation or coordination with another supervisory authority, intermediate information should be provided to the data subject. In order to facilitate the submission of complaints, each supervisory authority should take measures such as providing a complaint submission form which can also be completed electronically, without excluding other means of communication. | (85) | Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva direktiivi kohaselt vastu võetud sätete kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Pädev järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks andmesubjekti sellest teavitada. Järelevalveasutus peaks võtma meetmed kaebuste esitamise hõlbustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, välistamata muude sidevahendite kasutamist. |
| (86) | Each natural or legal person should have the right to an effective judicial remedy before the competent national court against a decision of a supervisory authority which produces legal effects concerning that person. Such a decision concerns in particular the exercise of investigative, corrective and authorisation powers by the supervisory authority or the dismissal or rejection of complaints. However, that right does not encompass other measures of supervisory authorities which are not legally binding, such as opinions issued by or advice provided by the supervisory authority. Proceedings against a supervisory authority should be brought before the courts of the Member State where the supervisory authority is established and should be conducted in accordance with Member State law. Those courts should exercise full jurisdiction which should include jurisdiction to examine all questions of fact and law relevant to the dispute before it. | (86) | Igal füüsilisel või juriidilisel isikul peaks olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on kõnealuse isiku suhtes õiguslikud tagajärjed. Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Kõnealune õigus ei hõlma siiski järelevalveasutuste muid, õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid. Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi õigusega. Kõnealustel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud. |
| (87) | Where a data subject considers that his or her rights under this Directive are infringed, he or she should have the right to mandate a body which aims to protect the rights and interests of data subjects in relation to the protection of their personal data and is constituted according to Member State law to lodge a complaint on his or her behalf with a supervisory authority and to exercise the right to a judicial remedy. The right of representation of data subjects should be without prejudice to Member State procedural law which may require mandatory representation of data subjects by a lawyer, as defined in Council Directive 77/249/EEC (10), before national courts. | (87) | Kui andmesubjekt leiab, et tema käesoleva direktiivi kohaseid õigusi on rikutud, peaks tal olema õigus volitada asutust, mille eesmärk on kaitsta andmesubjektide isikuandmete kaitsega seonduvaid õigusi ja huve ning mis on loodud liikmesriigi õiguse alusel, esitama tema nimel järelevalveasutusele kaebus ning teostama tema nimel õigust õiguskaitsevahendile. Andmesubjekti esindusõigus ei tohiks mõjutada liikmesriigi menetlusõigust, milles võib sisalduda nõue, et andmesubjekti peab liikmesriigi kohtutes esindama jurist, nagu on kindlaks määratud nõukogu direktiivis 77/249/EMÜ (10). |
| (88) | Any damage which a person may suffer as a result of processing that infringes the provisions adopted pursuant to this Directive should be compensated by the controller or any other authority competent under Member State law. The concept of damage should be broadly interpreted in the light of the case-law of the Court of Justice in a manner which fully reflects the objectives of this Directive. This is without prejudice to any claims for damage deriving from the violation of other rules in Union or Member State law. When reference is made to processing that is unlawful or that infringes the provisions adopted pursuant to this Directive it also covers processing that infringes implementing acts adopted pursuant to this Directive. Data subjects should receive full and effective compensation for the damage that they have suffered. | (88) | Vastutav töötleja või muu liikmesriigi õiguse kohaselt pädev asutus peaks hüvitama kahju, mille füüsilisele isikule võib põhjustada käesoleva direktiivi kohaselt vastu võetud sätteid rikkuv isikuandmete töötlemine. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva direktiivi eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tulenevaid kahjunõudeid. Kui viidatakse isikuandmete töötlemisele, mis on ebaseaduslik või rikub käesoleva direktiivi kohaselt vastu võetud sätteid, hõlmab see samuti isikuandmete töötlemist, mis rikub käesoleva direktiivi kohaselt vastu võetud rakendusakte. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. |
| (89) | Penalties should be imposed on any natural or legal person, whether governed by private or public law, who infringes this Directive. Member States should ensure that the penalties are effective, proportionate and dissuasive and should take all measures to implement the penalties. | (89) | Igale füüsilisele isikule ja eraõiguslikule või avalik-õiguslikule juriidilisele isikule, kes rikub käesolevat direktiivi, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja heidutavad, ning võtma kõik meetmed karistuste täitmisele pööramiseks. |
| (90) | In order to ensure uniform conditions for the implementation of this Directive, implementing powers should be conferred on the Commission with regard to the adequate level of protection afforded by a third country, a territory or a specified sector within a third country, or an international organisation and the format and procedures for mutual assistance and the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council (11). | (90) | Selleks et tagada käesoleva direktiivi ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused järgmistes küsimustes: kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; vastastikuse abistamise vorm ja kord ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse kord. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (11). |
| (91) | The examination procedure should be used for the adoption of implementing acts on the adequate level of protection afforded by a third country, a territory or a specified sector within a third country, or an international organisation and on the format and procedures for mutual assistance and the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board, given that those acts are of a general scope. | (91) | Kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelises organisatsiooni kaitse piisava taseme, vastastikuse abistamise vormi ja korda ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korda käsitlevate rakendusaktide vastuvõtmiseks tuleks kasutada kontrollimenetlust, kuna nimetatud rakendusaktid on üldise iseloomuga. |
| (92) | The Commission should adopt immediately applicable implementing acts where, in duly justified cases relating to a third country, a territory or a specified sector within a third country, or an international organisation which no longer ensure an adequate level of protection, imperative grounds of urgency so require. | (92) | Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelise organisatsiooniga, kes enam ei taga isikuandmete kaitse piisavat taset, ning kui tungiv kiireloomulisus seda nõuab, peaks komisjon võtma vastu viivitamata kohaldatavad rakendusaktid. |
| (93) | Since the objectives of this Directive, namely to protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data and to ensure the free exchange of personal data by competent authorities within the Union, cannot be sufficiently achieved by the Member States and can rather, by reason of the scale or effects of the action, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the TEU. In accordance with the principle of proportionality as set out in that Article, this Directive does not go beyond what is necessary in order to achieve those objectives | (93) | Kuna käesoleva direktiivi eesmärke, nimelt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ning tagada liidus isikuandmete vaba vahetamine pädevate asutuste vahel, ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid meetme ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas ELi lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärkide saavutamiseks vajalikust kaugemale. |
| (94) | Specific provisions of acts of the Union adopted in the field of judicial cooperation in criminal matters and police cooperation which were adopted prior to the date of the adoption of this Directive, regulating the processing of personal data between Member States or the access of designated authorities of Member States to information systems established pursuant to the Treaties, should remain unaffected, such as, for example, the specific provisions concerning the protection of personal data applied pursuant to Council Decision 2008/615/JHA (12), or Article 23 of the Convention on Mutual Assistance in Criminal Matters between the Member States of the European Union (13). Since Article 8 of the Charter and Article 16 TFEU require that the fundamental right to the protection of personal data be ensured in a consistent manner throughout the Union, the Commission should evaluate the situation with regard to the relationship between this Directive and the acts adopted prior to the date of adoption of this Directive regulating the processing of personal data between Member States or the access of designated authorities of Member States to information systems established pursuant to the Treaties, in order to assess the need for alignment of those specific provisions with this Directive. Where appropriate, the Commission should make proposals with a view to ensuring consistent legal rules relating to the processing of personal data. | (94) | See ei tohiks mõjutada kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal vastu võetud liidu õigusaktide erisätteid, mis võeti vastu enne käesoleva direktiivi vastuvõtmise kuupäeva ning millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist või liikmesriigi määratud asutuste juurdepääsu aluslepingute kohaselt loodud infosüsteemidele, nagu näiteks isikuandmete kaitset käsitlevad erisätted, mida kohaldatakse nõukogu otsuse 2008/615/JSK (12) kohaselt või Euroopa Liidu liikmesriikide vahelist vastastikust õigusabi kriminaalasjades käsitleva konventsiooni (13) artikli 23 kohaselt. Kuna harta artiklis 8 ja ELi toimimise lepingu artiklis 16 nõutakse, et põhiõigust isikuandmete kaitsmisele tagatakse järjekindlal viisil kogu liidus, peaks komisjon hindama olukorda, mis tuleneb seosest käesoleva direktiivi ja enne käesoleva direktiivi vastuvõtmise kuupäeva vastu võetud liidu õigusaktide vahel, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute kohaselt loodud infosüsteemidele, et hinnata vajadust viia nimetatud erisätted kooskõlla käesoleva direktiiviga. Asjakohasel juhul peaks komisjon tegema ettepanekuid, et tagada isikuandmete töötlemist käsitlevate õigusnormide sidusus. |
| (95) | In order to ensure a comprehensive and consistent protection of personal data in the Union, international agreements which were concluded by Member States prior to the date of entry into force of this Directive and which comply with the relevant Union law applicable prior to that date should remain in force until amended, replaced or revoked. | (95) | Selleks et tagada liidus isikuandmete igakülgne ja sidus kaitse, peaksid rahvusvahelised lepingud, mille liikmesriigid on sõlminud enne käesoleva direktiivi jõustumise kuupäeva ja mis on kooskõlas enne kõnealust kuupäeva kohaldatava asjaomase liidu õigusega, jääma jõusse kuni nende muutmise, asendamise või lõpetamiseni. |
| (96) | Member States should be allowed a period of not more than two years from the date of entry into force of this Directive to transpose it. Processing already under way on that date should be brought into conformity with this Directive within the period of two years after which this Directive enters into force. However, where such processing complies with the Union law applicable prior to the date of entry into force of this Directive, the requirements of this Directive concerning the prior consultation of the supervisory authority should not apply to the processing operations already under way on that date given that those requirements, by their very nature, are to be met prior to the processing. Where Member States use the longer implementation period expiring seven years after the date of entry into force of this Directive for meeting the logging obligations for automated processing systems set up prior to that date, the controller or the processor should have in place effective methods for demonstrating the lawfulness of the data processing, for enabling self-monitoring and for ensuring data integrity and data security, such as logs or other forms of records. | (96) | Liikmesriikidele tuleks anda käesoleva direktiivi ülevõtmiseks tähtaeg, mis ei ületa kahte aastat käesoleva direktiivi jõustumise kuupäevast. Isikuandmete töötlemine, mida on juba alustatud enne kõnealust kuupäeva, tuleks viia käesoleva direktiiviga kooskõlla kahe aasta jooksul pärast käesoleva direktiivi jõustumist. Kui selline töötlemine on aga kooskõlas enne käesoleva direktiivi jõustumise kuupäeva kohaldatava liidu õigusega, ei tuleks käesoleva direktiivi nõudeid, mis puudutavad järelevalveasutusega eelnevat konsulteerimist, kohaldada enne kõnealust kuupäeva juba alustatud isikuandmete töötlemise toimingute suhtes, kuna nimetatud nõuded peavad oma olemuse tõttu olema täidetud enne isikuandmete töötlemise alustamist. Kui liikmesriik kasutab enne käesoleva direktiivi jõustumise kuupäeva loodud automatiseeritud töötlemissüsteemi puhul logi pidamise kohustuse täitmiseks pikemat rakendamistähtaega, mis lõpeb seitsme aasta möödumisel kõnealusest kuupäevast, peaks vastutav töötleja või volitatud töötleja kasutama tõhusat meetodit isikuandmete töötlemise seaduslikkuse tõendamiseks, siseseire võimaldamiseks ning isikuandmete tervikluse ja turvalisuse tagamiseks, näiteks logide või muude säilitamisviiside kujul. |
| (97) | This Directive is without prejudice to the rules on combating the sexual abuse and sexual exploitation of children and child pornography as laid down in Directive 2011/93/EU of the European Parliament and of the Council (14). | (97) | Käesolev direktiiv ei piira laste seksuaalse kuritarvitamise ja ärakasutamise ning lapsporno vastase võitluse norme, mis on kehtestatud Euroopa Parlamendi ja nõukogu direktiiviga 2011/93/EL (14). |
| (98) | Framework Decision 2008/977/JHA should therefore be repealed. | (98) | Raamotsus 2008/977/JSK tuleks seetõttu kehtetuks tunnistada. |
| (99) | In accordance with Article 6a of Protocol No 21 on the position of the United Kingdom and Ireland in respect of the area of freedom, security and justice, as annexed to the TEU and to the TFEU, the United Kingdom and Ireland are not bound by the rules laid down in this Directive which relate to the processing of personal data by the Member States when carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three of the TFEU where the United Kingdom and Ireland are not bound by the rules governing the forms of judicial cooperation in criminal matters or police cooperation which require compliance with the provisions laid down on the basis of Article 16 TFEU. | (99) | ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei ole käesolevas direktiivis sätestatud normid füüsiliste isikute kaitse kohta isikuandmete töötlemisel liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse kuuluva tegevuse puhul Ühendkuningriigi ja Iirimaa suhtes siduvad, kui Ühendkuningriigi ja Iirimaa suhtes ei ole siduvad normid, mis käsitlevad õigusalast koostööd kriminaalasjades või politseikoostööd, mille raames tuleb järgida ELi toimimise lepingu artikli 16 alusel kehtestatud sätteid. |
| (100) | In accordance with Articles 2 and 2a of Protocol No 22 on the position of Denmark, as annexed to the TEU and to the TFEU, Denmark is not bound by the rules laid down in this Directive or subject to their application which relate to the processing of personal data by the Member States when carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three of the TFEU. Given that this Directive builds upon the Schengen acquis, under Title V of Part Three of the TFEU, Denmark, in accordance with Article 4 of that Protocol, is to decide within six months after adoption of this Directive whether it will implement it in its national law. | (100) | ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 22 (Taani seisukoha kohta) artiklite 2 ja 2a kohaselt ei ole käesolevas direktiivis sätestatud normid füüsiliste isikute kaitse kohta isikuandmete töötlemisel liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse kuuluva tegevuse puhul Taani suhtes siduvad ega kohaldatavad. Arvestades, et käesolev direktiiv põhineb ELi toimimise lepingu kolmanda osa V jaotise alusel Schengeni acquis'l, otsustab Taani kõnealuse protokolli artikli 4 kohaselt kuue kuu jooksul pärast käesoleva direktiivi vastuvõtmist, kas ta rakendab seda oma siseriiklikus õiguses. |
| (101) | As regards Iceland and Norway, this Directive constitutes a development of provisions of the Schengen acquis, as provided for by the Agreement concluded by the Council of the European Union and the Republic of Iceland and the Kingdom of Norway concerning the association of those two States with the implementation, application and development of the Schengen acquis (15). | (101) | Islandi ja Norra puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahelise lepingu (viimase kahe riigi osalemiseks Schengeni acquis' sätete rakendamises, kohaldamises ja edasiarendamises) (15) tähenduses. |
| (102) | As regards Switzerland, this Directive constitutes a development of provisions of the Schengen acquis, as provided for by the Agreement between the European Union, the European Community and the Swiss Confederation concerning the association of the Swiss Confederation with the implementation, application and development of the Schengen acquis (16). | (102) | Šveitsi puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis' rakendamise, kohaldamise ja edasiarendamisega) (16) tähenduses. |
| (103) | As regards Liechtenstein, this Directive constitutes a development of provisions of the Schengen acquis, as provided for by the Protocol between the European Union, the European Community, the Swiss Confederation and the Principality of Liechtenstein on the accession of the Principality of Liechtenstein to the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation's association with the implementation, application and development of the Schengen acquis (17). | (103) | Liechtensteini puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahelise protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis' rakendamise, kohaldamise ja edasiarendamisega) (17) tähenduses. |
| (104) | This Directive respects the fundamental rights and observes the principles recognised in the Charter as enshrined in the TFEU, in particular the right to respect for private and family life, the right to the protection of personal data, the right to an effective remedy and to a fair trial. Limitations placed on those rights are in accordance with Article 52(1) of the Charter as they are necessary to meet objectives of general interest recognised by the Union or the need to protect the rights and freedoms of others. | (104) | Käesolevas direktiivis peetakse kinni ELi toimimise lepingus sätestatud ja hartas tunnustatud põhiõigustest ja põhimõtetest, eelkõige õigusest era- ja perekonnaelu austamisele ning isikuandmete kaitsele, tõhusale õiguskaitsevahendile ning õiglasele kohtulikule arutamisele. Nimetatud õiguste suhtes kehtestatud piirangud on kooskõlas harta artikli 52 lõikega 1, olles vajalikud liidu poolt tunnustatud üldist huvi pakkuvate eesmärkide saavutamiseks ning teiste isikute õiguste ja vabaduste kaitsmiseks. |
| (105) | In accordance with the Joint Political Declaration of 28 September 2011 of Member States and the Commission on explanatory documents, Member States have undertaken to accompany, in justified cases, the notification of their transposition measures with one or more documents explaining the relationship between the components of a directive and the corresponding parts of national transposition measures. With regard to this Directive, the legislator considers the transmission of such documents to be justified. | (105) | Kooskõlas liikmesriikide ja komisjoni 28. septembri 2011. aasta ühise poliitilise deklaratsiooniga selgitavate dokumentide kohta kohustuvad liikmesriigid põhjendatud juhtudel lisama ülevõtmismeetmeid käsitlevale teatele ühe või mitu dokumenti, milles selgitatakse seost direktiivi osade ja ülevõtvate siseriiklike õigusaktide vastavate osade vahel. Käesoleva direktiivi puhul leiab seadusandja, et selliste dokumentide edastamine on põhjendatud. |
| (106) | The European Data Protection Supervisor was consulted in accordance with Article 28(2) of Regulation (EC) No 45/2001 and delivered an opinion on 7 March 2012 (18). | (106) | Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2 ning ta esitas arvamuse 7. märtsil 2012 (18). |
| (107) | This Directive should not preclude Member States from implementing the exercise of the rights of data subjects on information, access to and rectification or erasure of personal data and restriction of processing in the course of criminal proceedings, and their possible restrictions thereto, in national rules on criminal procedure, | (107) | Käesolev direktiiv ei tohiks takistada liikmesriikidel näha kriminaalmenetlust käsitlevates liikmesriigi õigusnormides ette andmesubjekti õigus saada kriminaalmenetluse käigus teavet, tutvuda isikuandmetega ja isikuandmeid parandada, kustutada ja nende töötlemist piirata, ega nende õiguste piiranguid, |
| HAVE ADOPTED THIS DIRECTIVE: | ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI: |
| CHAPTER I | I PEATÜKK |
| General provisions | Üldsätted |
| Article 1 | Artikkel 1 |
| Subject-matter and objectives | Reguleerimisese ja eesmärgid |
| 1. This Directive lays down the rules relating to the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. | 1. Käesolevas direktiivis sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks. |
| 2. In accordance with this Directive, Member States shall: | 2. Kooskõlas käesoleva direktiiviga liikmesriigid: |
| (a) | protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data; and | a) | kaitsevad füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele, ning |
| (b) | ensure that the exchange of personal data by competent authorities within the Union, where such exchange is required by Union or Member State law, is neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. | b) | tagavad, et pädevate asutuste vahelist isikuandmete vahetamist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel, kui selline isikuandmete vahetamine on nõutav liidu või liikmesriigi õigusega. |
| 3. This Directive shall not preclude Member States from providing higher safeguards than those established in this Directive for the protection of the rights and freedoms of the data subject with regard to the processing of personal data by competent authorities. | 3. Käesolev direktiiv ei takista liikmesriike kehtestamast isikuandmete töötlemisel pädevate asutuste poolt andmesubjekti õiguste ja vabaduste kaitseks rangemaid kaitsemeetmeid kui käesolevas direktiivis. |
| Article 2 | Artikkel 2 |
| Scope | Kohaldamisala |
| 1. This Directive applies to the processing of personal data by competent authorities for the purposes set out in Article 1(1). | 1. Käesolevat direktiivi kohaldatakse isikuandmete töötlemisele pädevate asutuste poolt artikli 1 lõikes 1 sätestatud eesmärkidel. |
| 2. This Directive applies to the processing of personal data wholly or partly by automated means, and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. | 2. Käesolevat direktiivi kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemisele ja isikuandmete automatiseerimata töötlemisele, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda. |
| 3. This Directive does not apply to the processing of personal data: | 3. Käesolevat direktiivi ei kohaldata, kui |
| (a) | in the course of an activity which falls outside the scope of Union law; | a) | isikuandmeid töödeldakse sellise tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse; |
| (b) | by the Union institutions, bodies, offices and agencies. | b) | isikuandmeid töötlevad liidu institutsioonid, organid ja asutused. |
| Article 3 | Artikkel 3 |
| Definitions | Mõisted |
| For the purposes of this Directive: | Käesolevas direktiivis kasutatakse järgmisi mõisteid: |
| (1) | ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; | 1) „isikuandmed“– igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekt“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal; |
| (2) | ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction; | 2) „isikuandmete töötlemine“– isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine; |
| (3) | ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future; | 3) „isikuandmete töötlemise piiramine“– säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist; |
| (4) | ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements; | 4) „profiilianalüüs“– igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud kõnealuse füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega; |
| (5) | ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person; | 5) „pseudonümiseerimine“– isikuandmete töötlemine sellisel viisil, et neid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid; |
| (6) | ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis; | 6) „andmete kogum“– isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud; |
| (7) | ‘competent authority’ means: | (a) | any public authority competent for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security; or | (b) | any other body or entity entrusted by Member State law to exercise public authority and public powers for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security; | 7) „pädev asutus“– |
| (8) | ‘controller’ means the competent authority which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law; | a) | avaliku sektori asutus, kes on pädev süütegusid tõkestama, uurima, avastama või nende eest vastutusele võtma või kriminaalkaristusi täitmisele pöörama, sealhulgas kaitsma avalikku julgeolekut ähvardavate ohtude eest ja neid ohte ennetama, või |
| (9) | ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller; | b) | muu asutus või üksus, kes teostab liikmesriigi õiguse kohaselt avalikku võimu süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil; |
| (10) | ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing; | 8) „vastutav töötleja“– pädev asutus, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui isikuandmete töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses; |
| (11) | ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed; | 9) „volitatud töötleja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel; |
| (12) | ‘genetic data’ means personal data, relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question; | 10) „vastuvõtja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjateks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid isikuandmeid kooskõlas asjaomaste andmekaitsenormidega vastavalt töötlemise eesmärkidele; |
| (13) | ‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data; | 11) „isikuandmetega seotud rikkumine“– turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või võimaldab neile juurdepääsu; |
| (14) | ‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status; | 12) „geneetilised andmed“– isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest; |
| (15) | ‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 41; | 13) „biomeetrilised andmed“– konkreetse tehnilise töötlemise abil saadavad isikuandmed füüsilise isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed; |
| (16) | ‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries. | 14) „terviseandmed“– füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema terviseseisundi kohta; |
| CHAPTER II | 15) „järelevalveasutus“– liikmesriigis artikli 41 kohaselt asutatud sõltumatu avaliku sektori asutus; |
| Principles | 16) „rahvusvaheline organisatsioon“– organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel. |
| Article 4 | II PEATÜKK |
| Principles relating to processing of personal data | Põhimõtted |
| 1. Member States shall provide for personal data to be: | Artikkel 4 |
| (a) | processed lawfully and fairly; | Isikuandmete töötlemise põhimõtted |
| (b) | collected for specified, explicit and legitimate purposes and not processed in a manner that is incompatible with those purposes; | 1. Liikmesriigid näevad ette järgmist: |
| (c) | adequate, relevant and not excessive in relation to the purposes for which they are processed; | a) | isikuandmeid töödeldakse seaduslikult ja õiglaselt; |
| (d) | accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay; | b) | isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda viisil, mis on nende eesmärkidega vastuolus; |
| (e) | kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which they are processed; | c) | isikuandmed on piisavad ja asjakohased ega ole liiased nende töötlemise eesmärkide suhtes; |
| (f) | processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures. | d) | isikuandmed on õiged ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed tagamaks, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutatakse või parandatakse viivitamata; |
| 2. Processing by the same or another controller for any of the purposes set out in Article 1(1) other than that for which the personal data are collected shall be permitted in so far as: | e) | isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; |
| (a) | the controller is authorised to process such personal data for such a purpose in accordance with Union or Member State law; and | f) | isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kadumise, hävimise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid. |
| (b) | processing is necessary and proportionate to that other purpose in accordance with Union or Member State law. | 2. Isikuandmete töötlemine sama või muu vastutava töötleja poolt muul artikli 1 lõikes 1 sätestatud eesmärgil kui eesmärk, milleks isikuandmeid kogutakse, on lubatud niivõrd, kuivõrd: |
| 3. Processing by the same or another controller may include archiving in the public interest, scientific, statistical or historical use, for the purposes set out in Article 1(1), subject to appropriate safeguards for the rights and freedoms of data subjects. | a) | vastutav töötleja on volitatud töötlema selliseid isikuandmeid sellisel eesmärgil kooskõlas liidu või liikmesriigi õigusega ning |
| 4. The controller shall be responsible for, and be able to demonstrate compliance with, paragraphs 1, 2 and 3. | b) | isikuandmete töötlemine on vajalik ja proportsionaalne kõnealuse muu eesmärgiga, nagu on ette nähtud liidu või liikmesriigi õiguses. |
| Article 5 | 3. Isikuandmete töötlemine sama või muu vastutava töötleja poolt võib hõlmata avalikes huvides arhiveerimist või teaduslikku, statistilist või ajaloolist kasutamist artikli 1 lõikes 1 sätestatud eesmärkidel, kui andmesubjekti õiguste ja vabaduste suhtes kohaldatakse asjakohaseid kaitsemeetmeid. |
| Time-limits for storage and review | 4. Vastutav töötleja vastutab lõigete 1, 2 ja 3 täitmise eest ja on võimeline nende täitmist tõendama. |
| Member States shall provide for appropriate time limits to be established for the erasure of personal data or for a periodic review of the need for the storage of personal data. Procedural measures shall ensure that those time limits are observed. | Artikkel 5 |
| Article 6 | Säilitamise ja läbivaatamise tähtajad |
| Distinction between different categories of data subject | Liikmesriigid näevad ette asjakohaste tähtaegade kehtestamise isikuandmete kustutamiseks või nende säilitamise vajaduse korrapäraseks läbivaatamiseks. Nimetatud tähtaegade järgimise tagamiseks kehtestatakse menetluslikud meetmed. |
| Member States shall provide for the controller, where applicable and as far as possible, to make a clear distinction between personal data of different categories of data subjects, such as: | Artikkel 6 |
| (a) | persons with regard to whom there are serious grounds for believing that they have committed or are about to commit a criminal offence; | Andmesubjektide eri kategooriate eristamine |
| (b) | persons convicted of a criminal offence; | Liikmesriigid näevad ette, et asjakohasel juhul võimaluste piires eristab vastutav töötleja isikuandmeid selgelt andmesubjektide eri kategooriate kaupa, nimelt: |
| (c) | victims of a criminal offence or persons with regard to whom certain facts give rise to reasons for believing that he or she could be the victim of a criminal offence; and | a) | isikud, kelle puhul on tõsine alus arvata, et nad on toime pannud või panevad varsti toime süüteo; |
| (d) | other parties to a criminal offence, such as persons who might be called on to testify in investigations in connection with criminal offences or subsequent criminal proceedings, persons who can provide information on criminal offences, or contacts or associates of one of the persons referred to in points (a) and (b). | b) | isikud, kes on süüteos süüdi mõistetud; |
| Article 7 | c) | süüteoohvrid ja isikud, kelle puhul teatavad asjaolud annavad alust arvata, et nad võivad olla süüteo ohvrid, ning |
| Distinction between personal data and verification of quality of personal data | d) | süüteoga seotud muud isikud, näiteks isikud, keda süüteo uurimise või sellele järgneva kriminaalmenetluse käigus võidakse kutsuda tunnistusi andma, isikud, kellelt võib saada teavet süüteo kohta, ning punktides a ja b osutatud isikute kontaktisikud ja kaasosalised. |
| 1. Member States shall provide for personal data based on facts to be distinguished, as far as possible, from personal data based on personal assessments. | Artikkel 7 |
| 2. Member States shall provide for the competent authorities to take all reasonable steps to ensure that personal data which are inaccurate, incomplete or no longer up to date are not transmitted or made available. To that end, each competent authority shall, as far as practicable, verify the quality of personal data before they are transmitted or made available. As far as possible, in all transmissions of personal data, necessary information enabling the receiving competent authority to assess the degree of accuracy, completeness and reliability of personal data, and the extent to which they are up to date shall be added. | Isikuandmete eristamine ja isikuandmete kvaliteedi kontrollimine |
| 3. If it emerges that incorrect personal data have been transmitted or personal data have been unlawfully transmitted, the recipient shall be notified without delay. In such a case, the personal data shall be rectified or erased or processing shall be restricted in accordance with Article 16. | 1. Liikmesriigid näevad ette, et faktidel põhinevaid isikuandmeid eristatakse nii palju kui võimalik isiklikel hinnangutel põhinevatest isikuandmetest. |
| Article 8 | 2. Liikmesriigid näevad ette, et pädevad asutused võtavad kõik mõistlikud meetmed tagamaks, et ebaõigeid, mittetäielikke või aegunud isikuandmeid ei edastata ega tehta kättesaadavaks. Sel eesmärgil kontrollivad kõik pädevad asutused võimaluse korral isikuandmete kvaliteeti enne nende edastamist või kättesaadavaks tegemist. Isikuandmete edastamisel lisatakse võimaluse korral vajalik teave, mis võimaldab andmeid vastu võtval pädeval asutusel hinnata isikuandmete õigsust, täielikkust, usaldusväärsuste ja ajakohasust. |
| Lawfulness of processing | 3. Kui ilmneb, et edastatud on ebaõigeid isikuandmeid või isikuandmeid on edastatud ebaseaduslikult, teavitatakse sellest viivitamata vastuvõtjat. Sellisel juhul tuleb isikuandmed parandada, kustutada või nende töötlemist piirata kooskõlas artikliga 16. |
| 1. Member States shall provide for processing to be lawful only if and to the extent that processing is necessary for the performance of a task carried out by a competent authority for the purposes set out in Article 1(1) and that it is based on Union or Member State law. | Artikkel 8 |
| 2. Member State law regulating processing within the scope of this Directive shall specify at least the objectives of processing, the personal data to be processed and the purposes of the processing. | Isikuandmete töötlemise seaduslikkus |
| Article 9 | 1. Liikmesriigid näevad ette, et isikuandmete töötlemine on seaduslik ainult sel juhul ja niivõrd, kui see on vajalik pädeva asutuse poolt artikli 1 lõikes 1 sätestatud eesmärkide kohase ülesande täitmiseks ning see põhineb liidu või liikmesriigi õigusel. |
| Specific processing conditions | 2. Käesoleva direktiivi kohaldamisalasse kuuluvat isikuandmete töötlemist reguleerivas liikmesriigi õiguses täpsustatakse vähemalt isikuandmete töötlemise üldised eesmärgid, töödeldavad isikuandmed ja nende töötlemise konkreetsed eesmärgid. |
| 1. Personal data collected by competent authorities for the purposes set out in Article 1(1) shall not be processed for purposes other than those set out in Article 1(1) unless such processing is authorised by Union or Member State law. Where personal data are processed for such other purposes, Regulation (EU) 2016/679 shall apply unless the processing is carried out in an activity which falls outside the scope of Union law. | Artikkel 9 |
| 2. Where competent authorities are entrusted by Member State law with the performance of tasks other than those performed for the purposes set out in Article 1(1), Regulation (EU) 2016/679 shall apply to processing for such purposes, including for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, unless the processing is carried out in an activity which falls outside the scope of Union law. | Isikuandmete töötlemise eritingimused |
| 3. Member States shall, where Union or Member State law applicable to the transmitting competent authority provides specific conditions for processing, provide for the transmitting competent authority to inform the recipient of such personal data of those conditions and the requirement to comply with them. | 1. Artikli 1 lõikes 1 sätestatud eesmärkidel pädevate asutuste poolt kogutavaid isikuandmeid ei tohi töödelda muudel kui artikli 1 lõikes 1 sätestatud eesmärkidel, välja arvatud juhul, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Kui isikuandmeid töödeldakse sellistel muudel eesmärkidel, kohaldatakse määrust (EL) 2016/679, välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse. |
| 4. Member States shall provide for the transmitting competent authority not to apply conditions pursuant to paragraph 3 to recipients in other Member States or to agencies, offices and bodies established pursuant to Chapters 4 and 5 of Title V of the TFEU other than those applicable to similar transmissions of data within the Member State of the transmitting competent authority. | 2. Kui liikmesriigi õigusega on pädevatele asutustele antud muud ülesanded kui need, mida täidetakse artikli 1 lõikes 1 sätestatud eesmärkidel, kohaldatakse sellistel eesmärkidel isikuandmete töötlemisele (sealhulgas avalikes huvides arhiveerimise, teadusliku või ajaloolise uurimistöö või statistika tarvis) määrust (EL) 2016/679, välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse. |
| Article 10 | 3. Liikmesriigid näevad ette, et kui andmeid edastava pädeva asutuse suhtes kohaldatavas liidu või liikmesriigi õiguses on sätestatud isikuandmete töötlemise eritingimused, teavitab isikuandmeid edastav pädev asutus selliste isikuandmete vastuvõtjat kõnealustest tingimustest ja nende järgimise nõudest. |
| Processing of special categories of personal data | 4. Liikmesriigid näevad ette, et isikuandmeid edastav pädev asutus ei kohalda teistes liikmesriikides asuvate vastuvõtjate ega ELi toimimise lepingu V jaotise 4. ja 5. peatüki kohaselt loodud asutuste ja organite suhtes muid lõike 3 kohaseid tingimusi kui need, mida kohaldatakse sarnase isikuandmete edastamise suhtes isikuandmeid edastava pädeva asutuse liikmesriigis. |
| Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be allowed only where strictly necessary, subject to appropriate safeguards for the rights and freedoms of the data subject, and only: | Artikkel 10 |
| (a) | where authorised by Union or Member State law; | Isikuandmete eriliikide töötlemine |
| (b) | to protect the vital interests of the data subject or of another natural person; or | Selliste isikuandmete töötlemine, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, ning geneetiliste andmete, füüsilise isiku kordumatuks tuvastamiseks kasutatavate biomeetriliste andmete, tervist või seksuaalelu või seksuaalset sättumust käsitlevate andmete töötlemine on lubatud üksnes siis, kui see on rangelt vajalik, sellele kohaldatakse andmesubjekti õiguste ja vabaduste kaitsmiseks asjakohaseid kaitsemeetmeid ning üksnes järgmistel juhtudel: |
| (c) | where such processing relates to data which are manifestly made public by the data subject. | a) | see on lubatud liidu või liikmesriigi õigusega; |
| Article 11 | b) | et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve või |
| Automated individual decision-making | c) | selliselt töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud. |
| 1. Member States shall provide for a decision based solely on automated processing, including profiling, which produces an adverse legal effect concerning the data subject or significantly affects him or her, to be prohibited unless authorised by Union or Member State law to which the controller is subject and which provides appropriate safeguards for the rights and freedoms of the data subject, at least the right to obtain human intervention on the part of the controller. | Artikkel 11 |
| 2. Decisions referred to in paragraph 1 of this Article shall not be based on special categories of personal data referred to in Article 10, unless suitable measures to safeguard the data subject's rights and freedoms and legitimate interests are in place. | Automatiseeritud töötlusel põhinevate üksikotsuste tegemine |
| 3. Profiling that results in discrimination against natural persons on the basis of special categories of personal data referred to in Article 10 shall be prohibited, in accordance with Union law. | 1. Liikmesriigid näevad ette, et keelatud on üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil põhinevate otsuste tegemine, millel on andmesubjektile kahjulikud õiguslikud tagajärjed või märkimisväärne mõju, välja arvatud juhul, kui see on lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, milles nähakse ette asjakohased kaitsemeetmed andmesubjekti õiguste ja vabaduste tagamiseks, mis hõlmab vähemalt õigust otsesele isiklikule kontaktile vastutava töötlejaga. |
| CHAPTER III | 2. Käesoleva artikli lõikes 1 osutatud otsused ei tohi põhineda artiklis 10 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui rakendatakse sobivaid meetmeid andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks. |
| Rights of the data subject | 3. Profiilianalüüs, mille tulemusel füüsilisi isikuid diskrimineeritakse artiklis 10 osutatud isikuandmete eriliikide alusel, on kooskõlas liidu õigusega keelatud. |
| Article 12 | III PEATÜKK |
| Communication and modalities for exercising the rights of the data subject | Andmesubjekti õigused |
| 1. Member States shall provide for the controller to take reasonable steps to provide any information referred to in Article 13 and make any communication with regard to Articles 11, 14 to 18 and 31 relating to processing to the data subject in a concise, intelligible and easily accessible form, using clear and plain language. The information shall be provided by any appropriate means, including by electronic means. As a general rule, the controller shall provide the information in the same form as the request. | Artikkel 12 |
| 2. Member States shall provide for the controller to facilitate the exercise of the rights of the data subject under Articles 11 and 14 to 18. | Teavitamine ja andmesubjekti õiguste teostamise kord |
| 3. Member States shall provide for the controller to inform the data subject in writing about the follow up to his or her request without undue delay. | 1. Liikmesriigid näevad ette, et vastutav töötleja võtab kõik mõistlikud meetmed, et esitada andmesubjektile artiklis 13 osutatud teave ning teavitada teda seoses artiklitega 11, 14–18 ja 31 isikuandmete töötlemisest, tehes seda kokkuvõtlikus, arusaadavas ja hõlpsasti kättesaadavas vormis, kasutades selget ja lihtsat sõnastust. Kõnealune teave esitatakse asjakohaste vahendite abil, sealhulgas elektrooniliselt. Üldreeglina esitab vastutav töötleja teabe taotlusega samas vormis. |
| 4. Member States shall provide for the information provided under Article 13 and any communication made or action taken pursuant to Articles 11, 14 to 18 and 31 to be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either: | 2. Liikmesriigid näevad ette, et vastutav töötleja aitab kaasa andmesubjekti artiklite 11 ja 14–18 kohaste õiguste teostamisele. |
| (a) | charge a reasonable fee, taking into account the administrative costs of providing the information or communication or taking the action requested; or | 3. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta kirjalikult tema taotluse alusel tehtud toimingutest. |
| (b) | refuse to act on the request. | 4. Liikmesriigid näevad ette, et artikli 13 kohase teabe esitamine ning artiklite 11, 14–18 ja 31 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja |
| The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request. | a) | küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või |
| 5. Where the controller has reasonable doubts concerning the identity of the natural person making a request referred to in Article 14 or 16, the controller may request the provision of additional information necessary to confirm the identity of the data subject. | b) | keelduda taotletud meetmete võtmisest. |
| Article 13 | Vastutav töötleja on kohustatud tõendama, et taotlus on selgelt põhjendamatu või ülemäärane. |
| Information to be made available or given to the data subject | 5. Kui vastutaval töötlejal on põhjendatud kahtlused artiklis 14 või 16 osutatud taotlust esitava füüsilise isiku isikusamasuse suhtes, võib vastutav töötleja nõuda andmesubjekti isiku tuvastamiseks vajaliku täiendava teabe esitamist. |
| 1. Member States shall provide for the controller to make available to the data subject at least the following information: | Artikkel 13 |
| (a) | the identity and the contact details of the controller; | Andmesubjektile kättesaadavaks tehtud või antud teave |
| (b) | the contact details of the data protection officer, where applicable; | 1. Liikmesriigid näevad ette, et vastutav töötleja teeb andmesubjektile kättesaadavaks vähemalt järgmise teabe: |
| (c) | the purposes of the processing for which the personal data are intended; | a) | vastutava töötleja nimi ja kontaktandmed; |
| (d) | the right to lodge a complaint with a supervisory authority and the contact details of the supervisory authority; | b) | kui kohaldatav, siis andmekaitseametniku kontaktandmed; |
| (e) | the existence of the right to request from the controller access to and rectification or erasure of personal data and restriction of processing of the personal data concerning the data subject. | c) | isikuandmete töötlemise kavandatud eesmärk; |
| 2. In addition to the information referred to in paragraph 1, Member States shall provide by law for the controller to give to the data subject, in specific cases, the following further information to enable the exercise of his or her rights: | d) | õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed; |
| (a) | the legal basis for the processing; | e) | õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmetega tutvumist ning nende parandamist või kustutamist ja isikuandmete töötlemise piiramist. |
| (b) | the period for which the personal data will be stored, or, where that is not possible, the criteria used to determine that period; | 2. Liikmesriigid näevad oma õiguses ette, et peale lõikes 1 osutatud teabe annab vastutav töötleja selleks, et andmesubjektil oleks võimalik oma õigusi teostada, talle konkreetsetel juhtudel järgmise täiendava teabe: |
| (c) | where applicable, the categories of recipients of the personal data, including in third countries or international organisations; | a) | isikuandmete töötlemise õiguslik alus; |
| (d) | where necessary, further information, in particular where the personal data are collected without the knowledge of the data subject. | b) | isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid; |
| 3. Member States may adopt legislative measures delaying, restricting or omitting the provision of the information to the data subject pursuant to paragraph 2 to the extent that, and for as long as, such a measure constitutes a necessary and proportionate measure in a democratic society with due regard for the fundamental rights and the legitimate interests of the natural person concerned, in order to: | c) | asjakohasel juhul isikuandmete vastuvõtjate kategooriad, sealhulgas kolmandates riikides või rahvusvahelistes organisatsioonides; |
| (a) | avoid obstructing official or legal inquiries, investigations or procedures; | d) | vajaduse korral täiendav teave, eriti juhul, kui isikuandmed on kogutud andmesubjekti teadmata. |
| (b) | avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties; | 3. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile lõike 2 kohaselt esitatava teabe hilisem või piiratud esitamine või esitamata jätmine sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne: |
| (c) | protect public security; | a) | ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks; |
| (d) | protect national security; | b) | süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks; |
| (e) | protect the rights and freedoms of others. | c) | avaliku julgeoleku kaitseks; |
| 4. Member States may adopt legislative measures in order to determine categories of processing which may wholly or partly fall under any of the points listed in paragraph 3. | d) | riigi julgeoleku kaitseks; |
| Article 14 | e) | teiste isikute õiguste ja vabaduste kaitseks. |
| Right of access by the data subject | 4. Liikmesriigid võivad vastu võtta seadusandlikke meetmeid, et määrata kindlaks isikuandmete töötlemise liigid, mille suhtes võivad täielikult või osaliselt kehtida vähemalt üks lõike 3 punktidest. |
| Subject to Article 15, Member States shall provide for the right of the data subject to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information: | Artikkel 14 |
| (a) | the purposes of and legal basis for the processing; | Andmesubjekti õigus tutvuda isikuandmetega |
| (b) | the categories of personal data concerned; | Kui artiklis 15 ei ole sätestatud teisiti, näevad liikmesriigid ette andmesubjekti õiguse saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse või mitte, ning nende töötlemise korral tutvuda isikuandmete ja järgmise teabega: |
| (c) | the recipients or categories of recipients to whom the personal data have been disclosed, in particular recipients in third countries or international organisations; | a) | töötlemise eesmärk ja õiguslik alus; |
| (d) | where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; | b) | asjaomaste isikuandmete liigid; |
| (e) | the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject; | c) | vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid; |
| (f) | the right to lodge a complaint with the supervisory authority and the contact details of the supervisory authority; | d) | kui võimalik, siis kavandatav isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid; |
| (g) | communication of the personal data undergoing processing and of any available information as to their origin. | e) | õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmete parandamist, kustutamist või nende töötlemise piiramist; |
| Article 15 | f) | õigus esitada järelevalveasutusele kaebus ning järelevalveasutuse kontaktandmed; |
| Limitations to the right of access | g) | töödeldavate isikuandmete ja nende päritolu käsitleva olemasoleva teabe edastamine. |
| 1. Member States may adopt legislative measures restricting, wholly or partly, the data subject's right of access to the extent that, and for as long as such a partial or complete restriction constitutes a necessary and proportionate measure in a democratic society with due regard for the fundamental rights and legitimate interests of the natural person concerned, in order to: | Artikkel 15 |
| (a) | avoid obstructing official or legal inquiries, investigations or procedures; | Isikuandmetega tutvumise õiguse piiramine |
| (b) | avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties; | 1. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjekti isikuandmetega tutvumise õiguse täielik või osaline piiramine sellises ulatuses ja seni, kuni selline piiramine on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede |
| (c) | protect public security; | a) | ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks; |
| (d) | protect national security; | b) | süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks; |
| (e) | protect the rights and freedoms of others. | c) | avaliku julgeoleku kaitseks; |
| 2. Member States may adopt legislative measures in order to determine categories of processing which may wholly or partly fall under points (a) to (e) of paragraph 1. | d) | riigi julgeoleku kaitseks; |
| 3. In the cases referred to in paragraphs 1 and 2, Member States shall provide for the controller to inform the data subject, without undue delay, in writing of any refusal or restriction of access and of the reasons for the refusal or the restriction. Such information may be omitted where the provision thereof would undermine a purpose under paragraph 1. Member States shall provide for the controller to inform the data subject of the possibility of lodging a complaint with a supervisory authority or seeking a judicial remedy. | e) | teiste isikute õiguste ja vabaduste kaitseks. |
| 4. Member States shall provide for the controller to document the factual or legal reasons on which the decision is based. That information shall be made available to the supervisory authorities. | 2. Liikmesriigid võivad vastu võtta seadusandlikke meetmeid, et määrata kindlaks isikuandmete töötlemise liigid, mille suhtes võivad täielikult või osaliselt kehtida lõike 1 punktid a–e. |
| Article 16 | 3. Lõigetes 1 ja 2 osutatud juhtudel näevad liikmesriigid ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta kirjalikult isikuandmetega tutvumisest keeldumisest või isikuandmetega tutvumise piiramisest ja keeldumise või piiramise põhjustest. Sellist teavet ei pea andma, kui selle andmine kahjustaks mõnda lõike 1 kohast eesmärki. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti tema võimalusest esitada kaebus järelevalveasutusele või kasutada õiguskaitsevahendit. |
| Right to rectification or erasure of personal data and restriction of processing | 4. Liikmesriigid näevad ette, et vastutav töötleja dokumenteerib otsuse faktilised ja õiguslikud alused. Nimetatud teave tehakse kättesaadavaks järelevalveasutustele. |
| 1. Member States shall provide for the right of the data subject to obtain from the controller without undue delay the rectification of inaccurate personal data relating to him or her. Taking into account the purposes of the processing, Member States shall provide for the data subject to have the right to have incomplete personal data completed, including by means of providing a supplementary statement. | Artikkel 16 |
| 2. Member States shall require the controller to erase personal data without undue delay and provide for the right of the data subject to obtain from the controller the erasure of personal data concerning him or her without undue delay where processing infringes the provisions adopted pursuant to Article 4, 8 or 10, or where personal data must be erased in order to comply with a legal obligation to which the controller is subject. | Isikuandmete parandamise või kustutamise ja isikuandmete töötlemise piiramise õigus |
| 3. Instead of erasure, the controller shall restrict processing where: | 1. Liikmesriigid näevad ette, et andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed. Võttes arvesse isikuandmete töötlemise eesmärki, näevad liikmesriigid ette, et andmesubjektil on õigus nõuda mittetäielike isikuandmete täiendamist, muu hulgas täiendava õiendi esitamise teel. |
| (a) | the accuracy of the personal data is contested by the data subject and their accuracy or inaccuracy cannot be ascertained; or | 2. Liikmesriigid nõuavad, et vastutav töötleja kustutaks isikuandmed põhjendamatu viivituseta ja näevad ette andmesubjekti õiguse sellele, et vastutav töötleja kustutaks põhjendamata viivituseta tema isikuandmed, kui isikuandmete töötlemine rikub artikli 4, 8 või 10 kohaselt vastu võetud sätteid või kui isikuandmed tuleb kustutada vastutava töötleja juriidilise kohustuse täitmiseks. |
| (b) | the personal data must be maintained for the purposes of evidence. | 3. Vastutav töötleja piirab isikuandmete kustutamise asemel nende töötlemist, kui: |
| Where processing is restricted pursuant to point (a) of the first subparagraph, the controller shall inform the data subject before lifting the restriction of processing. | a) | andmesubjekt vaidlustab isikuandmete õigsuse ning nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või |
| 4. Member States shall provide for the controller to inform the data subject in writing of any refusal of rectification or erasure of personal data or restriction of processing and of the reasons for the refusal. Member States may adopt legislative measures restricting, wholly or partly, the obligation to provide such information to the extent that such a restriction constitutes a necessary and proportionate measure in a democratic society with due regard for the fundamental rights and legitimate interests of the natural person concerned in order to: | b) | isikuandmeid tuleb säilitada tõendamise eesmärgil. |
| (a) | avoid obstructing official or legal inquiries, investigations or procedures; | Juhul kui isikuandmete töötlemine on esimese lõigu punkti a kohaselt piiratud, teavitab vastutav töötleja andmesubjekti enne isikuandmete töötlemise piirangu kõrvaldamist. |
| (b) | avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties; | 4. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti kirjalikult keeldumisest isikuandmeid parandada või kustutada või nende töötlemist piirata ning keeldumise põhjustest. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta vastu seadusandlikke meetmeid, millega nähakse ette sellise teabe esitamise kohustuse täielik või osaline piiramine sellises ulatuses, mil selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede: |
| (c) | protect public security; | a) | ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks; |
| (d) | protect national security; | b) | süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks; |
| (e) | protect the rights and freedoms of others. | c) | avaliku julgeoleku kaitseks; |
| Member States shall provide for the controller to inform the data subject of the possibility of lodging a complaint with a supervisory authority or seeking a judicial remedy. | d) | riigi julgeoleku kaitseks; |
| 5. Member States shall provide for the controller to communicate the rectification of inaccurate personal data to the competent authority from which the inaccurate personal data originate. | e) | teiste isikute õiguste ja vabaduste kaitseks. |
| 6. Member States shall, where personal data has been rectified or erased or processing has been restricted pursuant to paragraphs 1, 2 and 3, provide for the controller to notify the recipients and that the recipients shall rectify or erase the personal data or restrict processing of the personal data under their responsibility. | Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti tema võimalusest esitada kaebus järelevalveasutusele või kasutada õiguskaitsevahendit. |
| Article 17 | 5. Liikmesriigid näevad ette, et vastutav töötleja teavitab ebaõigete isikuandmete parandamisest pädevat asutust, kellelt ebaõiged isikuandmed pärinevad. |
| Exercise of rights by the data subject and verification by the supervisory authority | 6. Liikmesriigid näevad ette, et juhul, kui isikuandmeid on lõigete 1, 2 ja 3 kohaselt parandatud, kustutatud või nende töötlemist on piiratud, teavitab vastutav töötleja vastuvõtjaid ning vastuvõtjad parandavad või kustutavad nende vastutuse alla kuuluvad isikuandmed või piiravad nende töötlemist. |
| 1. In the cases referred to in Article 13(3), Article 15(3) and Article 16(4) Member States shall adopt measures providing that the rights of the data subject may also be exercised through the competent supervisory authority. | Artikkel 17 |
| 2. Member States shall provide for the controller to inform the data subject of the possibility of exercising his or her rights through the supervisory authority pursuant to paragraph 1. | Andmesubjekti õiguste teostamine ja kontroll järelevalveasutuse poolt |
| 3. Where the right referred to in paragraph 1 is exercised, the supervisory authority shall inform the data subject at least that all necessary verifications or a review by the supervisory authority have taken place. The supervisory authority shall also inform the data subject of his or her right to seek a judicial remedy. | 1. Artikli 13 lõikes 3, artikli 15 lõikes 3 ja artikli 16 lõikes 4 osutatud juhtudel võtavad liikmesriigid vastu meetmeid, millega nähakse ette, et andmesubjekti õigusi võib teostada ka pädeva järelevalveasutuse kaudu. |
| Article 18 | 2. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti võimalusest teostada vastavalt lõikele 1 oma õigusi järelevalveasutuse kaudu. |
| Rights of the data subject in criminal investigations and proceedings | 3. Kui teostatakse lõikes 1 osutatud õigust, teavitab järelevalveasutus andmesubjekti vähemalt sellest, et kõik vajalikud kontrollid või läbivaatus järelevalveasutuse poolt on aset leidnud. Järelevalveasutus teavitab andmesubjekti ühtlasi õigusest kasutada õiguskaitsevahendit. |
| Member States may provide for the exercise of the rights referred to in Articles 13, 14 and 16 to be carried out in accordance with Member State law where the personal data are contained in a judicial decision or record or case file processed in the course of criminal investigations and proceedings. | Artikkel 18 |
| CHAPTER IV | Andmesubjekti õigused kriminaaluurimises ja -menetluses |
| Controller and processor | Liikmesriigid võivad ette näha, et kui isikuandmed sisalduvad kohtuotsuses, karistusregistris või kriminaaluurimise ja -menetluse käigus töödeldavas toimikus, teostatakse artiklites 13, 14 ja 16 osutatud õigusi vastavalt liikmesriigi õigusele. |
| Section 1 | IV PEATÜKK |
| General obligations | Vastutav töötleja ja volitatud töötleja |
| Article 19 | 1. jagu |
| Obligations of the controller | Üldised kohustused |
| 1. Member States shall provide for the controller, taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, to implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Directive. Those measures shall be reviewed and updated where necessary. | Artikkel 19 |
| 2. Where proportionate in relation to the processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller. | Vastutava töötleja kohustused |
| Article 20 | 1. Liikmesriigid näevad ette, et vastutav töötleja rakendab isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte arvesse võttes asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid töödeldakse kooskõlas käesoleva direktiiviga, ja olemaks võimeline seda ka tõendama. Vajaduse korral vaadatakse kõnealused meetmed läbi ja neid ajakohastatakse. |
| Data protection by design and by default | 2. Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt. |
| 1. Member States shall provide for the controller, taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing, as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, both at the time of the determination of the means for processing and at the time of the processing itself, to implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing, in order to meet the requirements of this Directive and protect the rights of data subjects. | Artikkel 20 |
| 2. Member States shall provide for the controller to implement appropriate technical and organisational measures ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons. | Lõimitud andmekaitse ja vaikimisi andmekaitse |
| Article 21 | 1. Liikmesriigid näevad ette, et vastutav töötleja rakendab teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti isikuandmete töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohtusid arvesse võttes nii isikuandmete töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva direktiivi nõudeid ja kaitsta andmesubjektide õigusi. |
| Joint controllers | 2. Liikmesriigid näevad ette, et vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise iga konkreetse eesmärgi saavutamiseks. Nimetatud kohustus kehtib kogutud isikuandmete hulga, töötlemise ulatuse, säilitamise tähtaja ja kättesaadavuse suhtes. Eelkõige tagatakse selliste meetmetega see, et isikuandmeid ei tehta vaikimisi kättesaadavaks määramata füüsiliste isikute ringile ilma asjaomase isiku sekkumiseta. |
| 1. Member States shall, where two or more controllers jointly determine the purposes and means of processing, provide for them to be joint controllers. They shall, in a transparent manner, determine their respective responsibilities for compliance with this Directive, in particular as regards the exercise of the rights of the data subject and their respective duties to provide the information referred to in Article 13, by means of an arrangement between them unless, and in so far as, the respective responsibilities of the controllers are determined by Union or Member State law to which the controllers are subject. The arrangement shall designate the contact point for data subjects. Member States may designate which of the joint controllers can act as a single contact point for data subjects to exercise their rights. | Artikkel 21 |
| 2. Irrespective of the terms of the arrangement referred to in paragraph 1, Member States may provide for the data subject to exercise his or her rights under the provisions adopted pursuant to this Directive in respect of and against each of the controllers. | Kaasvastutavad töötlejad |
| Article 22 | 1. Liikmesriigid näevad ette, et kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad iga kaasvastutava töötleja vastutusvaldkonna käesoleva direktiivi täitmisel (eelkõige seoses andmesubjekti õiguste teostamise ja iga kaasvastutava töötleja kohustustega esitada artiklis 13 osutatud teavet) läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral, kui iga sellise vastutava töötleja vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Kokkuleppes määratakse andmesubjektide jaoks kindlaks kontaktpunkt. Liikmesriigid võivad kindlaks määrata, milline kaasvastutavatest töötlejatest võib toimida ühtse kontaktpunktina, mille kaudu andmesubjektid saavad oma õigusi teostada. |
| Processor | 2. Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võivad liikmesriigid ette näha, et andmesubjekt võib teostada oma käesoleva direktiivi kohaselt vastu võetud sätetest tulenevaid õigusi iga vastutava töötleja suhtes. |
| 1. Member States shall, where processing is to be carried out on behalf of a controller, provide for the controller to use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Directive and ensure the protection of the rights of the data subject. | Artikkel 22 |
| 2. Member States shall provide for the processor not to engage another processor without prior specific or general written authorisation by the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes. | Volitatud töötleja |
| 3. Member States shall provide for the processing by a processor to be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor: | 1. Liikmesriigid näevad ette, et kui isikuandmete töötlemine toimub vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et isikuandmete töötlemine vastab käesoleva direktiivi nõuetele, ning tagab andmesubjekti õiguste kaitse. |
| (a) | acts only on instructions from the controller; | 2. Liikmesriigid näevad ette, et volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa puhul teavitab volitatud töötleja vastutavat töötlejat alati kõigist kavandatavatest muutustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid. |
| (b) | ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality; | 3. Liikmesriigid näevad ette, et volitatud töötleja töötleb isikuandmeid volitatud töötlejale ja vastutavale töötlejale siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, milles sätestatakse isikuandmete töötlemise sisu ja kestus, laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad ning vastutava töötleja kohustused ja õigused. Nimetatud leping või siduv õigusakt sätestab eelkõige, et volitatud töötleja |
| (c) | assists the controller by any appropriate means to ensure compliance with the provisions on the data subject's rights; | a) | tegutseb üksnes vastutava töötleja suuniste alusel; |
| (d) | at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of data processing services, and deletes existing copies unless Union or Member State law requires storage of the personal data; | b) | tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane õigusaktist tulenev konfidentsiaalsuskohustus; |
| (e) | makes available to the controller all information necessary to demonstrate compliance with this Article; | c) | aitab vastutaval töötlejal kõigi asjakohaste vahenditega tagada andmesubjekti õigusi käsitlevate sätete järgimine; |
| (f) | complies with the conditions referred to in paragraphs 2 and 3 for engaging another processor. | d) | pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse isikuandmete säilitamist; |
| 4. The contract or the other legal act referred to in paragraph 3 shall be in writing, including in an electronic form. | e) | teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesoleva artikli täitmise tõendamiseks; |
| 5. If a processor determines, in infringement of this Directive, the purposes and means of processing, that processor shall be considered to be a controller in respect of that processing. | f) | järgib lõigetes 2 ja 3 osutatud tingimusi teise volitatud töötleja kaasamiseks. |
| Article 23 | 4. Lõikes 3 osutatud leping või siduv õigusakt peab olema kirjalik, sh elektroonilisel kujul. |
| Processing under the authority of the controller or processor | 5. Kui volitatud töötleja määrab käesolevat direktiivi rikkudes isikuandmete töötlemise eesmärgid ja vahendid, siis loetakse kõnealust volitatud töötlejat selle töötlemise suhtes vastutavaks töötlejaks. |
| Member States shall provide for the processor and any person acting under the authority of the controller or of the processor, who has access to personal data, not to process those data except on instructions from the controller, unless required to do so by Union or Member State law. | Artikkel 23 |
| Article 24 | Isikuandmete töötlemine vastutava töötleja või volitatud töötleja volituse alusel |
| Records of processing activities | Liikmesriigid näevad ette, et volitatud töötleja ning vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad nimetatud isikuandmeid töödelda üksnes vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab. |
| 1. Member States shall provide for controllers to maintain a record of all categories of processing activities under their responsibility. That record shall contain all of the following information: | Artikkel 24 |
| (a) | the name and contact details of the controller and, where applicable, the joint controller and the data protection officer; | Isikuandmete töötlemise toimingute dokumenteerimine |
| (b) | the purposes of the processing; | 1. Liikmesriigid näevad ette, et vastutavad töötlejad dokumenteerivad kõik nende vastutusel toimuvate isikuandmete töötlemise toimingute liigid. Kõnealune dokumentatsioon sisaldab järgmist teavet: |
| (c) | the categories of recipients to whom the personal data have been or will be disclosed including recipients in third countries or international organisations; | a) | vastutava töötleja, asjakohasel juhul kaasvastutava töötleja ja andmekaitseametniku nimi ja kontaktandmed; |
| (d) | a description of the categories of data subject and of the categories of personal data; | b) | isikuandmete töötlemise eesmärgid; |
| (e) | where applicable, the use of profiling; | c) | vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid; |
| (f) | where applicable, the categories of transfers of personal data to a third country or an international organisation; | d) | andmesubjektide kategooriate ja isikuandmete liikide kirjeldus; |
| (g) | an indication of the legal basis for the processing operation, including transfers, for which the personal data are intended; | e) | asjakohasel juhul profiilianalüüsi kasutamine; |
| (h) | where possible, the envisaged time limits for erasure of the different categories of personal data; | f) | asjakohasel juhul isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise liigid; |
| (i) | where possible, a general description of the technical and organisational security measures referred to in Article 29(1). | g) | teave selle isikuandmete töötlemise toimingu (sealhulgas edastamise) õigusliku aluse kohta, mille jaoks isikuandmed on mõeldud; |
| 2. Member States shall provide for each processor to maintain a record of all categories of processing activities carried out on behalf of a controller, containing: | h) | võimaluse korral isikuandmete eriliikide kustutamiseks ette nähtud tähtajad; |
| (a) | the name and contact details of the processor or processors, of each controller on behalf of which the processor is acting and, where applicable, the data protection officer; | i) | võimaluse korral artikli 29 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus. |
| (b) | the categories of processing carried out on behalf of each controller; | 2. Liikmesriigid näevad ette, et volitatud töötleja dokumenteerib kõik vastutava töötleja nimel toimuvate isikuandmete töötlemisega seotud toimingute liigid, hõlmates järgmist teavet: |
| (c) | where applicable, transfers of personal data to a third country or an international organisation where explicitly instructed to do so by the controller, including the identification of that third country or international organisation; | a) | volitatud töötleja või volitatud töötlejate, kõigi vastutavate töötlejate, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul andmekaitseametniku nimi ja kontaktandmed; |
| (d) | where possible, a general description of the technical and organisational security measures referred to in Article 29(1). | b) | iga vastutava töötleja nimel tehtava töötlemise liigid; |
| 3. The records referred to in paragraphs 1 and 2 shall be in writing, including in electronic form. | c) | asjakohasel juhul isikuandmete edastamine kolmandale riigile või rahvusvahelisele organisatsioonile, kui vastutav töötleja andis selleks sõnaselge korralduse, sealhulgas andmed kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni tuvastamiseks; |
| The controller and the processor shall make those records available to the supervisory authority on request. | d) | võimaluse korral artikli 29 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus. |
| Article 25 | 3. Lõigetes 1 ja 2 osutatud dokumentatsioon on kirjalik, sh elektroonilisel kujul. |
| Logging | Taotluse korral teevad vastutav töötleja ja volitatud töötleja kõnealuse dokumentatsiooni järelevalveasutusele kättesaadavaks. |
| 1. Member States shall provide for logs to be kept for at least the following processing operations in automated processing systems: collection, alteration, consultation, disclosure including transfers, combination and erasure. The logs of consultation and disclosure shall make it possible to establish the justification, date and time of such operations and, as far as possible, the identification of the person who consulted or disclosed personal data, and the identity of the recipients of such personal data. | Artikkel 25 |
| 2. The logs shall be used solely for verification of the lawfulness of processing, self-monitoring, ensuring the integrity and security of the personal data, and for criminal proceedings. | Logimine |
| 3. The controller and the processor shall make the logs available to the supervisory authority on request. | 1. Liikmesriigid näevad ette, et peetakse logisid vähemalt järgmiste automatiseeritud töötlemissüsteemides tehtavate isikuandmete töötlemise toimingute kohta: kogumine, muutmine, lugemine, avalikustamine (sealhulgas edastamine), ühendamine ja kustutamine. Lugemist ja avalikustamist kajastavad logid peavad võimaldama teha kindlaks nimetatud toimingute tegemise põhjenduse, kuupäeva ja aja ning võimaluse korral ka teabe isikuandmeid lugenud ja avalikustanud isiku kohta ning selliste isikuandmete vastuvõtjate nimed. |
| Article 26 | 2. Logisid kasutatakse üksnes isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, isikuandmete tervikluse ja turvalisuse tagamiseks ning kriminaalmenetluses. |
| Cooperation with the supervisory authority | 3. Taotluse korral teevad vastutav töötleja ja volitatud töötleja logid järelevalveasutusele kättesaadavaks. |
| Member States shall provide for the controller and the processor to cooperate, on request, with the supervisory authority in the performance of its tasks on request. | Artikkel 26 |
| Article 27 | Koostöö järelevalveasutusega |
| Data protection impact assessment | Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja teevad oma ülesannete täitmise käigus taotluse korral koostööd järelevalveasutusega. |
| 1. Where a type of processing, in particular, using new technologies, and taking into account the nature, scope, context and purposes of the processing is likely to result in a high risk to the rights and freedoms of natural persons, Member States shall provide for the controller to carry out, prior to the processing, an assessment of the impact of the envisaged processing operations on the protection of personal data. | Artikkel 27 |
| 2. The assessment referred to in paragraph 1 shall contain at least a general description of the envisaged processing operations, an assessment of the risks to the rights and freedoms of data subjects, the measures envisaged to address those risks, safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Directive, taking into account the rights and legitimate interests of the data subjects and other persons concerned. | Andmekaitsealane mõjuhinnang |
| Article 28 | 1. Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava isikuandmete töötlemise tulemusena ning töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib füüsiliste isikute õigustele ja vabadustele tõenäoliselt suur oht, näevad liikmesriigid ette, et vastutav töötleja hindab enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. |
| Prior consultation of the supervisory authority | 2. Lõikes 1 osutatud hindamine sisaldab vähemalt kavandatud isikuandmete töötlemise toimingute üldkirjeldust, ohuhinnangut seoses andmesubjektide õiguste ja vabadustega, kõnealuste ohtude käsitlemiseks kavandatud meetmeid, kaitsemeetmeid, turvameetmeid ja mehhanisme, mis tagavad isikuandmete kaitse ja tõendavad kooskõla käesoleva direktiiviga, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve. |
| 1. Member States shall provide for the controller or processor to consult the supervisory authority prior to processing which will form part of a new filing system to be created, where: | Artikkel 28 |
| (a) | a data protection impact assessment as provided for in Article 27 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk; or | Eelnev konsulteerimine järelevalveasutusega |
| (b) | the type of processing, in particular, where using new technologies, mechanisms or procedures, involves a high risk to the rights and freedoms of data subjects. | 1. Liikmesriigid näevad ette, et vastutav töötleja või volitatud töötleja konsulteerib järelevalveasutusega enne, kui ta hakkab töötlema isikuandmeid, mis kantakse uude loodavasse andmete kogumisse, kui |
| 2. Member States shall provide for the supervisory authority to be consulted during the preparation of a proposal for a legislative measure to be adopted by a national parliament or of a regulatory measure based on such a legislative measure, which relates to processing. | a) | artiklis 27 sätestatud andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohtu leevendamiseks võetavate meetmete puudumise korral suur oht, või |
| 3. Member States shall provide that the supervisory authority may establish a list of the processing operations which are subject to prior consultation pursuant to paragraph 1. | b) | isikuandmete töötlemise laadiga, eelkõige kui kasutatakse uusi tehnoloogiaid, mehhanisme või menetlusi, kaasneb suur oht andmesubjekti õigustele ja vabadustele. |
| 4. Member States shall provide for the controller to provide the supervisory authority with the data protection impact assessment pursuant to Article 27 and, on request, with any other information to allow the supervisory authority to make an assessment of the compliance of the processing and in particular of the risks for the protection of personal data of the data subject and of the related safeguards. | 2. Liikmesriigid näevad ette järelevalveasutusega konsulteerimise, kui koostamisel on liikmesriigi parlamendis vastu võetava seadusandliku meetme ettepanek või sellisel seadusandlikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega. |
| 5. Member States shall, where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 of this Article would infringe the provisions adopted pursuant to this Directive, in particular where the controller has insufficiently identified or mitigated the risk, provide for the supervisory authority to provide, within a period of up to six weeks of receipt of the request for consultation, written advice to the controller and, where applicable, to the processor, and may use any of its powers referred to in Article 47. That period may be extended by a month, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor of any such extension within one month of receipt of the request for consultation, together with the reasons for the delay. | 3. Liikmesriigid näevad ette, et järelevalveasutus võib koostada loetelu isikuandmete töötlemise toimingutest, mille suhtes kohaldatakse lõikes 1 sätestatud eelnevat konsulteerimist. |
| Section 2 | 4. Liikmesriigid näevad ette, et vastutav töötleja esitab järelevalveasutusele artikli 27 kohase andmekaitsealase mõjuhinnangu ja taotluse korral ka muu teabe, mille alusel järelevalveasutus saab hinnata isikuandmete töötlemise vastavust nõuetele, eelkõige andmesubjekti isikuandmete kaitset ähvardavaid ohtusid ja nendega seotud kaitsemeetmeid. |
| Security of personal data | 5. Liikmesriigid näevad ette, et kui järelevalveasutus on seisukohal, et käesoleva artikli lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesoleva direktiivi kohaselt vastu võetud sätteid, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, annab järelevalveasutus hiljemalt kuue nädala jooksul alates konsulteerimise taotluse saamisest vastutavale töötlejale ja kui see on kohaldatav, volitatud töötlejale kirjalikult nõu ning võib kasutada artiklis 47 osutatud volitusi. Nimetatud tähtaega võib pikendada ühe kuu võrra, arvestades kavandatud isikuandmete töötlemise keerukust. Järelevalveasutus teavitab vastutavat töötlejat ja kui see on kohaldatav, volitatud töötlejat tähtaja pikendamisest ühe kuu jooksul alates konsulteerimise taotluse saamisest, koos tähtaja pikendamise põhjustega. |
| Article 29 | 2. jagu |
| Security of processing | Isikuandmete turvalisus |
| 1. Member States shall provide for the controller and the processor, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, to implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, in particular as regards the processing of special categories of personal data referred to in Article 10. | Artikkel 29 |
| 2. In respect of automated processing, each Member State shall provide for the controller or processor, following an evaluation of the risks, to implement measures designed to: | Isikuandmete töötlemise turvalisus |
| (a) | deny unauthorised persons access to processing equipment used for processing (‘equipment access control’); | 1. Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja rakendavad teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohtusid füüsiliste isikute õigustele ja vabadustele arvesse võttes ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, eelkõige seoses artiklis 10 osutatud isikuandmete eriliikide töötlemisega. |
| (b) | prevent the unauthorised reading, copying, modification or removal of data media (‘data media control’); | 2. Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja rakendavad ohuhindamise alusel automatiseeritud andmetöötluse suhtes meetmeid, et: |
| (c) | prevent the unauthorised input of personal data and the unauthorised inspection, modification or deletion of stored personal data (‘storage control’); | a) | keelata volitamata isikute juurdepääs isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele (töövahenditele juurdepääsu kontroll); |
| (d) | prevent the use of automated processing systems by unauthorised persons using data communication equipment (‘user control’); | b) | hoida ära andmekandjate loata lugemine, kopeerimine, muutmine või kõrvaldamine (andmekandjate kontroll); |
| (e) | ensure that persons authorised to use an automated processing system have access only to the personal data covered by their access authorisation (‘data access control’); | c) | hoida ära isikuandmete loata sisestamine ja säilitatavate isikuandmetega tutvumine, nende muutmine või kustutamine (säilitamise kontroll); |
| (f) | ensure that it is possible to verify and establish the bodies to which personal data have been or may be transmitted or made available using data communication equipment (‘communication control’); | d) | hoida ära automatiseeritud andmetöötlussüsteemi andmesidevahendite abil kasutamine volitamata isikute poolt (kasutajate kontroll); |
| (g) | ensure that it is subsequently possible to verify and establish which personal data have been input into automated processing systems and when and by whom the personal data were input (‘input control’); | e) | tagada, et automatiseeritud andmetöötlussüsteemi kasutamise loaga isikutel oleks juurdepääs üksnes nendele isikuandmetele, mida hõlmab nende juurdepääsuluba (juurdepääsukontroll); |
| (h) | prevent the unauthorised reading, copying, modification or deletion of personal data during transfers of personal data or during transportation of data media (‘transport control’); | f) | tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud või kättesaadavaks tehtud või millistele asutustele võib neid edastada või kättesaadavaks teha (andmeedastuse kontroll); |
| (i) | ensure that installed systems may, in the case of interruption, be restored (‘recovery’); | g) | tagada võimalus hiljem tõendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kelle poolt need sisestati (sisestamise kontroll); |
| (j) | ensure that the functions of the system perform, that the appearance of faults in the functions is reported (‘reliability’) and that stored personal data cannot be corrupted by means of a malfunctioning of the system (‘integrity’). | h) | hoida ära isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise ajal (transpordi kontroll); |
| Article 30 | i) | tagada, et paigaldatud süsteeme on võimalik katkestuse korral taastada (taastamine); |
| Notification of a personal data breach to the supervisory authority | j) | tagada, et süsteem toimib, et selles ilmnevatest toimimisvigadest teatatakse (töökindlus) ja et süsteemirikked ei põhjustaks säilitatavate isikuandmete moonutamist (terviklus). |
| 1. Member States shall, in the case of a personal data breach, provide for the controller to notify without undue delay and, where feasible, not later than 72 hours after having become aware of it, the personal data breach to the supervisory authority, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay. | Artikkel 30 |
| 2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach. | Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest |
| 3. The notification referred to in paragraph 1 shall at least: | 1. Liikmesriigid näevad ette, et isikuandmetega seotud rikkumise korral teatab vastutav töötleja isikuandmetega seotud rikkumisest järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui järelevalveasutust teavitatakse hiljem kui 72 tunni jooksul, esitatakse teates selle kohta põhjendus. |
| (a) | describe the nature of the personal data breach including, where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned; | 2. Volitatud töötleja teavitab vastutavat töötlejat põhjendamatu viivituseta pärast isikuandmetega seotud rikkumisest teada saamist. |
| (b) | communicate the name and contact details of the data protection officer or other contact point where more information can be obtained; | 3. Lõikes 1 osutatud teates tuleb vähemalt |
| (c) | describe the likely consequences of the personal data breach; | a) | kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste isikuandmekirjete liigid ja ligikaudne arv; |
| (d) | describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects. | b) | teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktpunkti nimi ja kontaktandmed; |
| 4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay. | c) | kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi; |
| 5. Member States shall provide for the controller to document any personal data breaches referred to in paragraph 1, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article. | d) | kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas asjakohasel juhul rikkumise võimaliku kahjuliku mõju leevendamiseks. |
| 6. Member States shall, where the personal data breach involves personal data that have been transmitted by or to the controller of another Member State, provide for the information referred to in paragraph 3 to be communicated to the controller of that Member State without undue delay. | 4. Juhul ja niivõrd, kui teavet ei ole võimalik esitada samal ajal, võib teabe esitada järk-järgult ilma põhjendamatu viivituseta. |
| Article 31 | 5. Liikmesriigid näevad ette, et vastutav töötleja dokumenteerib kõik lõikes 1 osutatud isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, mõju ja võetud parandusmeetmed. Dokumendid peavad võimaldama järelevalveasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist. |
| Communication of a personal data breach to the data subject | 6. Liikmesriigid näevad ette, et kui isikuandmetega seotud rikkumine puudutab isikuandmeid, mis on edastatud teise liikmesriigi vastutava töötleja poolt või teise liikmesriigi vastutavale töötlejale, edastatakse lõikes 3 osutatud teave põhjendamatu viivituseta kõnealuse liikmesriigi vastutavale töötlejale. |
| 1. Member States shall, where the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, provide for the controller to communicate the personal data breach to the data subject without undue delay. | Artikkel 31 |
| 2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and shall contain at least the information and measures referred to in points (b), (c) and (d) of Article 30(3). | Andmesubjekti teavitamine isikuandmetega seotud rikkumisest |
| 3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met: | 1. Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, näevad liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest. |
| (a) | the controller has implemented appropriate technological and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption; | 2. Andmesubjektile käesoleva artikli lõike 1 kohaselt esitatud teates kirjeldatakse selges ja lihtsas keeles isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 30 lõike 3 punktides b, c ja d ette nähtud teave ja meetmed. |
| (b) | the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise; | 3. Lõikes 1 osutatud andmesubjekti teavitamist ei nõuta, kui esineb üks järgmistest tingimustest: |
| (c) | it would involve a disproportionate effort. In such a case, there shall instead be a public communication or a similar measure whereby the data subjects are informed in an equally effective manner. | a) | vastutav töötleja on rakendanud asjakohaseid tehnoloogilisi ja korralduslikke kaitsemeetmeid ning neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine); |
| 4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so, or may decide that any of the conditions referred to in paragraph 3 are met. | b) | vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu realiseerumine andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline; |
| 5. The communication to the data subject referred to in paragraph 1 of this Article may be delayed, restricted or omitted subject to the conditions and on the grounds referred to in Article 13(3). | c) | see nõuaks ebaproportsionaalset jõupingutust. Sellisel juhul tehakse andmesubjekti teavitamise asemel avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil. |
| Section 3 | 4. Kui vastutav töötleja ei ole isikuandmetega seotud rikkumisest andmesubjekti veel teavitanud, võib järelevalveasutus pärast selle hindamist, kas isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu, sellist teavitamist vastutavalt töötlejalt nõuda või otsustada, et esineb üks lõikes 3 osutatud tingimustest. |
| Data protection officer | 5. Artikli 13 lõikes 3 osutatud tingimustel ja alustel võib andmesubjektile käesoleva artikli lõikes 1 osutatud teabe esitada hiljem või piiratud ulatuses või jätta see esitamata. |
| Article 32 | 3. jagu |
| Designation of the data protection officer | Andmekaitseametnik |
| 1. Member States shall provide for the controller to designate a data protection officer. Member States may exempt courts and other independent judicial authorities when acting in their judicial capacity from that obligation. | Artikkel 32 |
| 2. The data protection officer shall be designated on the basis of his or her professional qualities and, in particular, his or her expert knowledge of data protection law and practice and ability to fulfil the tasks referred to in Article 34. | Andmekaitseametniku määramine |
| 3. A single data protection officer may be designated for several competent authorities, taking account of their organisational structure and size. | 1. Liikmesriigid näevad ette, et vastutav töötleja määrab andmekaitseametniku. Liikmesriigid võivad vabastada sellest kohustusest kohtud ja muud sõltumatud õigusasutused menetlusotsuste tegemisel. |
| 4. Member States shall provide for the controller to publish the contact details of the data protection officer and communicate them to the supervisory authority. | 2. Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige tema ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita artiklis 34 osutatud ülesandeid. |
| Article 33 | 3. Mitme pädeva asutuse kohta võib määrata ühe andmekaitseametniku, võttes arvesse nende asutuste organisatsioonilist struktuuri ja suurust. |
| Position of the data protection officer | 4. Liikmesriigid näevad ette, et vastutav töötleja avaldab andmekaitseametniku kontaktandmed ning edastab need järelevalveasutusele. |
| 1. Member States shall provide for the controller to ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data. | Artikkel 33 |
| 2. The controller shall support the data protection officer in performing the tasks referred to in Article 34 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge. | Andmekaitseametniku ametiseisund |
| Article 34 | 1. Liikmesriigid näevad ette, et vastutav töötleja tagab andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitsega seotud küsimustesse. |
| Tasks of the data protection officer | 2. Vastutav töötleja toetab andmekaitseametnikku artiklis 34 osutatud ülesannete täitmisel, andes talle kõnealuste ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja nende töötlemise toimingutele. |
| Member States shall provide for the controller to entrust the data protection officer at least with the following tasks: | Artikkel 34 |
| (a) | to inform and advise the controller and the employees who carry out processing of their obligations pursuant to this Directive and to other Union or Member State data protection provisions; | Andmekaitseametniku ülesanded |
| (b) | to monitor compliance with this Directive, with other Union or Member State data protection provisions and with the policies of the controller in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits; | Liikmesriigid näevad ette, et vastutav töötleja annab andmekaitseametnikule vähemalt järgmised ülesanded: |
| (c) | to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 27; | a) | teavitada ja nõustada vastutavat töötlejat ning isikuandmeid töötlevaid töötajaid nende kohustustest, mis tulenevad käesolevast direktiivist ja muudest liidu või liikmesriikide andmekaitsenormidest; |
| (d) | to cooperate with the supervisory authority; | b) | jälgida käesoleva direktiivi, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduva auditeerimist; |
| (e) | to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 28, and to consult, where appropriate, with regard to any other matter. | c) | anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning valvata selle toimimise järele vastavalt artiklile 27; |
| CHAPTER V | d) | teha koostööd järelevalveasutusega; |
| Transfers of personal data to third countries or international organisations | e) | tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktpunktina, sealhulgas artiklis 28 osutatud eelneva konsulteerimise puhul, ning konsulteerida asjakohasel juhul ka muudes küsimustes. |
| Article 35 | V PEATÜKK |
| General principles for transfers of personal data | Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele |
| 1. Member States shall provide for any transfer by competent authorities of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation including for onward transfers to another third country or international organisation to take place, subject to compliance with the national provisions adopted pursuant to other provisions of this Directive, only where the conditions laid down in this Chapter are met, namely: | Artikkel 35 |
| (a) | the transfer is necessary for the purposes set out in Article 1(1); | Isikuandmete edastamise üldpõhimõtted |
| (b) | the personal data are transferred to a controller in a third country or international organisation that is an authority competent for the purposes referred to in Article 1(1); | 1. Liikmesriigid näevad ette, et pädevad asutused edastavad töödeldavaid või pärast kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist töötlemiseks, sealhulgas andmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edasi saatmiseks mõeldud isikuandmeid üksnes juhul, kui on täidetud käesoleva direktiivi muude sätete kohaselt vastu võetud liikmesriigi sätted ja käesolevas peatükis sätestatud tingimused, nimelt: |
| (c) | where personal data are transmitted or made available from another Member State, that Member State has given its prior authorisation to the transfer in accordance with its national law; | a) | edastamine on vajalik artikli 1 lõikes 1 sätestatud eesmärkidel; |
| (d) | the Commission has adopted an adequacy decision pursuant to Article 36, or, in the absence of such a decision, appropriate safeguards have been provided or exist pursuant to Article 37, or, in the absence of an adequacy decision pursuant to Article 36 and of appropriate safeguards in accordance with Article 37, derogations for specific situations apply pursuant to Article 38; and | b) | isikuandmeid edastatakse vastutavale töötlejale kolmandas riigis või rahvusvahelises organisatsioonis, mis on artikli 1 lõikes 1 osutatud eesmärkidel pädev asutus; |
| (e) | in the case of an onward transfer to another third country or international organisation, the competent authority that carried out the original transfer or another competent authority of the same Member State authorises the onward transfer, after taking into due account all relevant factors, including the seriousness of the criminal offence, the purpose for which the personal data was originally transferred and the level of personal data protection in the third country or an international organisation to which personal data are onward transferred. | c) | juhul kui isikuandmeid edastatakse või tehakse kättesaadavaks teisest liikmesriigist, on kõnealune liikmesriik andnud edastamiseks eelnevalt loa kooskõlas oma siseriikliku õigusega; |
| 2. Member States shall provide for transfers without the prior authorisation by another Member State in accordance with point (c) of paragraph 1 to be permitted only if the transfer of the personal data is necessary for the prevention of an immediate and serious threat to public security of a Member State or a third country or to essential interests of a Member State and the prior authorisation cannot be obtained in good time. The authority responsible for giving prior authorisation shall be informed without delay. | d) | komisjon on artikli 36 kohaselt võtnud vastu kaitse piisavuse otsuse või kui sellist otsust ei ole vastu võetud, siis on kehtestatud või võetud artikli 37 kohased piisavad kaitsemeetmed, või kui artikli 36 kohane kaitse piisavuse otsus või 37 kohased piisavad kaitsemeetmed puuduvad, kohaldatakse artikli 38 kohaselt erandeid eriolukordades, ning |
| 3. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons ensured by this Directive is not undermined. | e) | andmete edasisaatmise korral muule kolmandale riigile või rahvusvahelisele organisatsioonile annab andmed algselt edastanud pädev asutus või sama liikmesriigi muu pädev asutus loa edasisaatmiseks, olles võtnud nõuetekohaselt arvesse kõiki asjakohaseid tegureid, sealhulgas süüteo raskust, isikuandmete algse edastamise eesmärki ja isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse. |
| Article 36 | 2. Liikmesriigid näevad ette, et andmete edastamine lõike 1 punkti c kohaselt ilma teise liikmesriigi eelneva loata on lubatud üksnes juhul, kui isikuandmete edastamine on vajalik liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks või liikmesriigi olulise huvi seisukohast ning eelnevat luba ei ole võimalik õigeaegselt saada. Eelneva loa andmise eest vastutavat asutust teavitatakse viivitamata. |
| Transfers on the basis of an adequacy decision | 3. Kõiki käesoleva peatüki sätteid kohaldatakse selleks, et tagada füüsiliste isikute kaitse käesoleva direktiiviga ette nähtud tasemel. |
| 1. Member States shall provide that a transfer of personal data to a third country or an international organisation may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation. | Artikkel 36 |
| 2. When assessing the adequacy of the level of protection, the Commission shall, in particular, take account of the following elements: | Edastamine kaitse piisavuse otsuse alusel |
| (a) | the rule of law, respect for human rights and fundamental freedoms, relevant legislation, both general and sectoral, including concerning public security, defence, national security and criminal law and the access of public authorities to personal data, as well as the implementation of such legislation, data protection rules, professional rules and security measures, including rules for the onward transfer of personal data to another third country or international organisation, which are complied with in that country or international organisation, case-law, as well as effective and enforceable data subject rights and effective administrative and judicial redress for the data subjects whose personal data are transferred; | 1. Liikmesriigid näevad ette, et isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või asjaomase kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba. |
| (b) | the existence and effective functioning of one or more independent supervisory authorities in the third country or to which an international organisation is subject, with responsibility for ensuring and enforcing compliance with data protection rules, including adequate enforcement powers, for assisting and advising data subjects in exercising their rights and for cooperation with the supervisory authorities of the Member States; and | 2. Isikuandmete kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse järgmisi asjaolusid: |
| (c) | the international commitments the third country or international organisation concerned has entered into, or other obligations arising from legally binding conventions or instruments as well as from its participation in multilateral or regional systems, in particular in relation to the protection of personal data. | a) | õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, riigikaitset, riiklikku julgeolekut, kriminaalõigust ja riigiasutuste juurdepääsu isikuandmetele, ning kõnealuste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktika ning tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse; |
| 3. The Commission, after assessing the adequacy of the level of protection, may decide, by means of implementing act, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2 of this Article. The implementing act shall provide a mechanism for periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation. The implementing act shall specify its territorial and sectoral application and, where applicable, identify the supervisory authority or authorities referred to in point (b) of paragraph 2 of this Article. The implementing act shall be adopted in accordance with the examination procedure referred to in Article 58(2). | b) | ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja jõustamise eest, sealhulgas piisavate täitmise tagamise volituste eest, ning andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ja |
| 4. The Commission shall, on an ongoing basis, monitor developments in third countries and international organisations that could affect the functioning of decisions adopted pursuant to paragraph 3. | c) | asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega. |
| 5. The Commission shall, where available information reveals, in particular following the review referred to in paragraph 3 of this Article, that a third country, a territory or one or more specified sectors within a third country, or an international organisation no longer ensures an adequate level of protection within the meaning of paragraph 2 of this Article, to the extent necessary, repeal, amend or suspend the decision referred to in paragraph 3 of this Article by means of implementing acts without retro-active effect. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 58(2). | 3. Komisjon võib pärast kaitse taseme piisavuse hindamist võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme käesoleva artikli lõike 2 tähenduses. Rakendusaktis nähakse ette korrapärase, vähemalt iga nelja aasta tagant toimuva läbivaatamise mehhanism, milles võetakse arvesse kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. Rakendusaktis määratakse kindlaks selle territoriaalne ja valdkondlik kohaldatavus ning vajaduse korral käesoleva artikli lõike 2 punktis b osutatud järelevalveasutus või -asutused. Rakendusakt võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega. |
| On duly justified imperative grounds of urgency, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 58(3). | 4. Komisjon jälgib pidevalt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võiksid mõjutada lõike 3 kohaselt vastu võetud otsuste toimimist. |
| 6. The Commission shall enter into consultations with the third country or international organisation with a view to remedying the situation giving rise to the decision made pursuant to paragraph 5. | 5. Kui olemasolev teave sellele osutab ja eelkõige pärast käesoleva artikli lõikes 3 osutatud läbivaatamist, võtab komisjon rakendusaktidega vastu otsuse, et kolmas riik, kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon ei taga enam isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, ning muudab käesoleva artikli lõikes 3 osutatud otsust vajalikus ulatuses, tunnistab selle kehtetuks või peatab selle kehtivuse ilma tagasiulatuva mõjuta. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega. |
| 7. Member States shall provide for a decision pursuant to paragraph 5 to be without prejudice to transfers of personal data to the third country, the territory or one or more specified sectors within that third country, or the international organisation in question pursuant to Articles 37 and 38. | Nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu võtab komisjon kooskõlas artikli 58 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid. |
| 8. The Commission shall publish in the Official Journal of the European Union and on its website a list of the third countries, territories and specified sectors within a third country and international organisations for which it has decided that an adequate level of protection is or is no longer ensured. | 6. Komisjon alustab kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone lõike 5 kohase otsuse vastuvõtmise tinginud olukorra parandamiseks. |
| Article 37 | 7. Liikmesriigid näevad ette, et lõike 5 kohane otsus ei mõjuta artiklite 37 ja 38 kohaseid isikuandmete edastamisi kolmandale riigile või kõnealuse kolmanda riigi territooriumile või kõnealuse kolmanda riigi ühele või mitmele kindlaksmääratud sektorile või kõnealusele rahvusvahelisele organisatsioonile. |
| Transfers subject to appropriate safeguards | 8. Komisjon avaldab Euroopa Liidu Teatajas ja oma veebisaidil nende kolmandate riikide, kolmanda riigi territooriumide ja kindlaksmääratud sektorite ning rahvusvaheliste organisatsioonide loetelu, mille kohta ta on vastu võtnud otsuse, et nad tagavad isikuandmete kaitse piisava taseme või ei taga seda enam. |
| 1. In the absence of a decision pursuant to Article 36(3), Member States shall provide that a transfer of personal data to a third country or an international organisation may take place where: | Artikkel 37 |
| (a) | appropriate safeguards with regard to the protection of personal data are provided for in a legally binding instrument; or | Edastamine asjakohaste kaitsemeetmete kohaldamisel |
| (b) | the controller has assessed all the circumstances surrounding the transfer of personal data and concludes that appropriate safeguards exist with regard to the protection of personal data. | 1. Artikli 36 lõike 3 kohase otsuse puudumise korral näevad liikmesriigid ette, et isikuandmeid võib edastada kolmandale riigile või rahvusvahelisele organisatsioonile juhul, kui |
| 2. The controller shall inform the supervisory authority about categories of transfers under point (b) of paragraph 1. | a) | isikuandmete kaitseks võetavad asjakohased kaitsemeetmed on sätestatud õiguslikult siduvas aktis või |
| 3. When a transfer is based on point (b) of paragraph 1, such a transfer shall be documented and the documentation shall be made available to the supervisory authority on request, including the date and time of the transfer, information about the receiving competent authority, the justification for the transfer and the personal data transferred. | b) | vastutav töötleja on hinnanud kõiki isikuandmete edastamisega seotud asjaolusid ning leidnud, et võetud on kõik isikuandmete kaitse seisukohalt asjakohased kaitsemeetmed. |
| Article 38 | 2. Vastutav töötleja teatab järelevalveasutusele lõike 1 punkti b kohaste edastamiste liigid. |
| Derogations for specific situations | 3. Kui edastamine põhineb lõike 1 punktil b, siis dokumenteeritakse selline edastamine, sealhulgas edastamise kuupäev ja kellaaeg, vastuvõtva pädeva asutuse andmed, edastamise selgitus ja edastatud isikuandmed ning taotluse korral tehakse dokumendid järelevalveasutusele kättesaadavaks. |
| 1. In the absence of an adequacy decision pursuant to Article 36, or of appropriate safeguards pursuant to Article 37, Member States shall provide that a transfer or a category of transfers of personal data to a third country or an international organisation may take place only on the condition that the transfer is necessary: | Artikkel 38 |
| (a) | in order to protect the vital interests of the data subject or another person; | Erandid eriolukordades |
| (b) | to safeguard legitimate interests of the data subject, where the law of the Member State transferring the personal data so provides; | 1. Artikli 36 kohase kaitse piisavuse otsuse või artikli 37 kohaste asjakohaste kaitsemeetmete puudumise korral näevad liikmesriigid ette, et kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete edastamine või edastamistoimingute liik on lubatud üksnes tingimusel, et edastamine on vajalik: |
| (c) | for the prevention of an immediate and serious threat to public security of a Member State or a third country; | a) | andmesubjekti või teise isiku eluliste huvide kaitsmiseks; |
| (d) | in individual cases for the purposes set out in Article 1(1); or | b) | andmesubjekti õigustatud huvi kaitsmiseks, kui isikuandmeid edastava liikmesriigi õiguses on niimoodi ette nähtud; |
| (e) | in an individual case for the establishment, exercise or defence of legal claims relating to the purposes set out in Article 1(1). | c) | liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks; |
| 2. Personal data shall not be transferred if the transferring competent authority determines that fundamental rights and freedoms of the data subject concerned override the public interest in the transfer set out in points (d) and (e) of paragraph 1. | d) | üksikjuhtumite korral artikli 1 lõikes 1 sätestatud eesmärkidel või |
| 3. Where a transfer is based on paragraph 1, such a transfer shall be documented and the documentation shall be made available to the supervisory authority on request, including the date and time of the transfer, information about the receiving competent authority, the justification for the transfer and the personal data transferred. | e) | üksikjuhtumi korral artikli 1 lõikes 1 sätestatud eesmärkidega seotud konkreetsete õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. |
| Article 39 | 2. Isikuandmeid ei edastata, kui edastav pädev asutus leiab, et asjaomase andmesubjekti põhiõigused ja -vabadused kaaluvad üles lõike 1 punktides d ja e sätestatud avaliku huvi andmete edastamiseks. |
| Transfers of personal data to recipients established in third countries | 3. Kui edastamine põhineb lõikel 1, siis on selline edastamine, sealhulgas edastamise kuupäev ja kellaaeg, vastuvõtva pädeva asutuse andmed, edastamise selgitus ja edastatud isikuandmed, dokumenteeritud ning dokumendid tehakse taotluse korral järelevalveasutusele kättesaadavaks. |
| 1. By way of derogation from point (b) of Article 35(1) and without prejudice to any international agreement referred to in paragraph 2 of this Article, Union or Member State law may provide for the competent authorities referred to in point (7)(a) of Article 3, in individual and specific cases, to transfer personal data directly to recipients established in third countries only if the other provisions of this Directive are complied with and all of the following conditions are fulfilled: | Artikkel 39 |
| (a) | the transfer is strictly necessary for the performance of a task of the transferring competent authority as provided for by Union or Member State law for the purposes set out in Article 1(1); | Isikuandmete edastamine kolmandates riikides asuvatele vastuvõtjatele |
| (b) | the transferring competent authority determines that no fundamental rights and freedoms of the data subject concerned override the public interest necessitating the transfer in the case at hand; | 1. Erandina artikli 35 lõike 1 punktist b ja ilma et see piiraks käesoleva artikli lõikes 2 osutatud rahvusvaheliste lepingute kohaldamist, võib liidu või liikmesriigi õigusega ette näha, et artikli 3 punkti 7 alapunktis a osutatud pädevad asutused võivad üksikute ja konkreetsete juhtumite korral edastada isikuandmeid kolmandates riikides asuvatele vastuvõtjatele otse üksnes juhul, kui järgitakse käesoleva direktiivi muid sätteid ja kui on täidetud kõik järgmised tingimused: |
| (c) | the transferring competent authority considers that the transfer to an authority that is competent for the purposes referred to in Article 1(1) in the third country is ineffective or inappropriate, in particular because the transfer cannot be achieved in good time; | a) | edastamine on rangelt vajalik edastava pädeva asutuse liidu või liikmesriigi õiguses sätestatud ülesande täitmiseks artikli 1 lõikes 1 sätestatud eesmärkidel; |
| (d) | the authority that is competent for the purposes referred to in Article 1(1) in the third country is informed without undue delay, unless this is ineffective or inappropriate; | b) | edastav pädev asutus leiab, et ükski asjaomase andmesubjekti põhiõigus ega -vabadus ei kaalu konkreetse juhtumi puhul üles avalikku huvi, mis teeb vajalikuks edastamise; |
| (e) | the transferring competent authority informs the recipient of the specified purpose or purposes for which the personal data are only to be processed by the latter provided that such processing is necessary. | c) | edastav pädev asutus leiab, et edastamine kolmanda riigi asutusele, kes on pädev artikli 1 lõikes 1 osutatud eesmärkidel, ei ole tõhus või asjakohane, eelkõige sellepärast, et seda ei ole võimalik teha õigeaegselt; |
| 2. An international agreement referred to in paragraph 1 shall be any bilateral or multilateral international agreement in force between Member States and third countries in the field of judicial cooperation in criminal matters and police cooperation. | d) | kolmanda riigi asutust, kes on pädev artikli 1 lõikes 1 osutatud eesmärkidel, teavitatakse põhjendamatu viivituseta, välja arvatud juhul, kui see ei ole tõhus või asjakohane; |
| 3. The transferring competent authority shall inform the supervisory authority about transfers under this Article. | e) | edastav pädev asutus teavitab vastuvõtjat konkreetsest eesmärgist või konkreetsetest eesmärkidest, millega seoses viimane isikuandmeid töödelda võib, eeldusel et selline töötlemine on vajalik. |
| 4. Where a transfer is based on paragraph 1, such a transfer shall be documented. | 2. Lõikes 1 osutatud rahvusvaheline leping on liikmesriikide ja kolmandate riikide vaheline kahepoolne või mitmepoolne rahvusvaheline leping kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas. |
| Article 40 | 3. Edastav pädev asutus teatab käesoleva artikli kohastest edastamistest järelevalveasutusele. |
| International cooperation for the protection of personal data | 4. Kui edastamine põhineb lõikel 1, tuleb selline edastamine dokumenteerida. |
| In relation to third countries and international organisations, the Commission and Member States shall take appropriate steps to: | Artikkel 40 |
| (a) | develop international cooperation mechanisms to facilitate the effective enforcement of legislation for the protection of personal data; | Isikuandmete kaitseks tehtav rahvusvaheline koostöö |
| (b) | provide international mutual assistance in the enforcement of legislation for the protection of personal data, including through notification, complaint referral, investigative assistance and information exchange, subject to appropriate safeguards for the protection of personal data and other fundamental rights and freedoms; | Komisjon ja liikmesriigid võtavad kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes asjakohased meetmed, selleks et |
| (c) | engage relevant stakeholders in discussion and activities aimed at furthering international cooperation in the enforcement of legislation for the protection of personal data; | a) | töötada välja rahvusvahelised koostöömehhanismid, millega hõlbustada isikuandmete kaitset käsitlevate õigusaktide tõhusat täitmise tagamist; |
| (d) | promote the exchange and documentation of personal data protection legislation and practice, including on jurisdictional conflicts with third countries. | b) | osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamisel, kaebuste edasisaatmisel käsitlemiseks, uurimisabi ja teabevahetuse kaudu, järgides asjakohaseid isikuandmete kaitse meetmeid ning muid põhiõigusi ja -vabadusi; |
| CHAPTER VI | c) | kaasata asjaomased sidusrühmad arutellu ja tegevusse, mille eesmärk on edendada rahvusvahelist koostööd isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel; |
| Independent supervisory authorities | d) | edendada isikuandmete kaitset käsitlevate õigusaktide ja tavade vahetamist ja dokumenteerimist, sealhulgas kolmandate riikidega kohtualluvust puudutavate lahkarvamuste küsimuses. |
| Section 1 | VI PEATÜKK |
| Independent status | Sõltumatud järelevalveasutused |
| Article 41 | 1. jagu |
| Supervisory authority | Sõltumatus |
| 1. Each Member State shall provide for one or more independent public authorities to be responsible for monitoring the application of this Directive, in order to protect the fundamental rights and freedoms of natural persons in relation to processing and to facilitate the free flow of personal data within the Union (‘supervisory authority’). | Artikkel 41 |
| 2. Each supervisory authority shall contribute to the consistent application of this Directive throughout the Union. For that purpose, the supervisory authorities shall cooperate with each other and with the Commission in accordance with Chapter VII. | Järelevalveasutus |
| 3. Member States may provide for a supervisory authority established under Regulation (EU) 2016/679 to be the supervisory authority referred to in this Directive and to assume responsibility for the tasks of the supervisory authority to be established under paragraph 1 of this Article. | 1. Iga liikmesriik näeb ette, et üks või mitu sõltumatut riigiasutust vastutab käesoleva direktiivi kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi nende isikuandmete töötlemisel ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“). |
| 4. Where more than one supervisory authority is established in a Member State, that Member State shall designate the supervisory authority which are to represent those authorities in the Board referred to in Article 51. | 2. Iga järelevalveasutus annab panuse selleks, et tagada käesoleva direktiivi järjekindel kohaldamine kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja komisjoniga koostööd kooskõlas VII peatükiga. |
| Article 42 | 3. Liikmesriigid võivad sätestada, et määruse (EL) 2016/679 kohaselt loodud järelevalveasutus on käesolevas direktiivis osutatud järelevalveasutus ja ta vastutab käesoleva artikli lõike 1 kohaselt loodava järelevalveasutuse ülesannete täitmise eest. |
| Independence | 4. Kui liikmesriigis on rohkem kui üks järelevalveasutus, määrab liikmesriik ühe järelevalveasutuse, kes esindab neid asutusi artiklis 51 osutatud andmekaitsenõukogus. |
| 1. Each Member State shall provide for each supervisory authority to act with complete independence in performing its tasks and exercising its powers in accordance with this Directive. | Artikkel 42 |
| 2. Member States shall provide for the member or members of their supervisory authorities in the performance of their tasks and exercise of their powers in accordance with this Directive, to remain free from external influence, whether direct or indirect, and that they shall neither seek nor take instructions from anybody. | Sõltumatus |
| 3. Members of Member States' supervisory authorities shall refrain from any action incompatible with their duties and shall not, during their term of office, engage in any incompatible occupation, whether gainful or not. | 1. Liikmesriigid näevad ette, et nende järelevalveasutused tegutsevad käesoleva direktiivi kohaselt oma ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult. |
| 4. Each Member State shall ensure that each supervisory authority is provided with the human, technical and financial resources, premises and infrastructure necessary for the effective performance of its tasks and exercise of its powers, including those to be carried out in the context of mutual assistance, cooperation and participation in the Board. | 2. Liikmesriigid näevad ette, et nende järelevalveasutuste liikmed on oma käesoleva direktiivi kohaste ülesannete täitmisel ja volituste kasutamisel vabad nii otsestest kui ka kaudsetest välistest mõjutustest ning et nad ei küsi ega võta vastu juhiseid mitte kelleltki. |
| 5. Each Member State shall ensure that each supervisory authority chooses and has its own staff which shall be subject to the exclusive direction of the member or members of the supervisory authority concerned. | 3. Liikmesriikide järelevalveasutuste liikmed hoiduvad oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul oma kohustustega kokkusobimatul tasustatud või tasustamata ametikohal. |
| 6. Each Member State shall ensure that each supervisory authority is subject to financial control which does not affect its independence and that it has separate, public annual budgets, which may be part of the overall state or national budget. | 4. Liikmesriigid näevad ette, et nende järelevalveasutustel on inim-, tehnilised ja rahalised ressursid ning ruumid ja taristu oma ülesannete tõhusaks täitmiseks ja volituste kasutamiseks, sealhulgas nende, mis tuleb täita vastastikuse abi ja koostöö raames ning andmekaitsenõukogu töös osalemisel. |
| Article 43 | 5. Liikmesriigid näevad ette, et nende järelevalveasutustel on oma töötajad, kelle valib järelevalveasutus ja kes alluvad ainult asjaomase järelevalveasutuse liikme või liikmete juhtimisele. |
| General conditions for the members of the supervisory authority | 6. Liikmesriigid näevad ette, et nende järelevalveasutuste üle teostatakse sellist finantskontrolli, mis ei mõjuta nende sõltumatust ning et neil on eraldi avalik aastaeelarve, mis võib olla osa piirkonna või riigi üldeelarvest. |
| 1. Member States shall provide for each member of their supervisory authorities to be appointed by means of a transparent procedure by: | Artikkel 43 |
| — | their parliament; | Järelevalveasutuse liikmetele esitatavad üldtingimused |
| — | their government; | 1. Liikmesriigid näevad ette, et nende järelevalveasutuste liikmed nimetab läbipaistva menetluse teel ametisse: |
| — | their head of State; or | — | asjaomase liikmesriigi parlament, |
| — | an independent body entrusted with the appointment under Member State law. | — | asjaomase liikmesriigi valitsus, |
| 2. Each member shall have the qualifications, experience and skills, in particular in the area of the protection of personal data, required to perform their duties and exercise their powers. | — | asjaomase liikmesriigi riigipea või |
| 3. The duties of a member shall end in the event of the expiry of the term of office, resignation or compulsory retirement, in accordance with the law of the Member State concerned. | — | liikmesriigi õiguse kohaselt asjaomaseid liikmeid ametisse nimetama volitatud sõltumatu asutus. |
| 4. A member shall be dismissed only in cases of serious misconduct or if the member no longer fulfils the conditions required for the performance of the duties. | 2. Igal liikmel on oma kohustuste täitmiseks ja volituste kasutamiseks vajalik kvalifikatsioon, kogemus ja oskused, eelkõige isikuandmete kaitse valdkonnas. |
| Article 44 | 3. Liikme kohustused lõpevad ametiaja lõppedes või ametist lahkumise või kohustusliku pensionilemineku korral kooskõlas asjaomase liikmesriigi õigusega. |
| Rules on the establishment of the supervisory authority | 4. Liige vabastatakse ametist ainult tõsise üleastumise korral või juhul, kui liige ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele. |
| 1. Each Member State shall provide by law for all of the following: | Artikkel 44 |
| (a) | the establishment of each supervisory authority; | Järelevalveasutuse asutamise eeskirjad |
| (b) | the qualifications and eligibility conditions required to be appointed as a member of each supervisory authority; | 1. Liikmesriik sätestab õigusega:: |
| (c) | the rules and procedures for the appointment of the member or members of each supervisory authority; | a) | järelevalveasutuse asutamise; |
| (d) | the duration of the term of the member or members of each supervisory authority of not less than four years, except for the first appointment after 6 May 2016, part of which may take place for a shorter period where that is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure; | b) | järelevalveasutuse liikme ametisse nimetamiseks nõutava kvalifikatsiooni ja tingimused; |
| (e) | whether and, if so, for how many terms the member or members of each supervisory authority is eligible for reappointment; | c) | eeskirjad ja menetlused järelevalveasutuse liikmete ametisse nimetamiseks; |
| (f) | the conditions governing the obligations of the member or members and staff of each supervisory authority, prohibitions on actions, occupations and benefits incompatible therewith during and after the term of office and rules governing the cessation of employment. | d) | järelevalveasutuse liikme või liikmete vähemalt nelja aasta pikkuse ametiaja, välja arvatud pärast 6. maid 2016 esimest korda ametisse nimetamisel, mil osa liikmete ametiaeg võib olla lühem, kui see on vajalik, et kaitsta järkjärgulise ametisse nimetamise abil järelevalveasutuse sõltumatust; |
| 2. The member or members and the staff of each supervisory authority shall, in accordance with Union or Member State law, be subject to a duty of professional secrecy both during and after their term of office, with regard to any confidential information which has come to their knowledge in the course of the performance of their tasks or the exercise of their powers. During their term of office, that duty of professional secrecy shall in particular apply to reporting by natural persons of infringements of this Directive. | e) | selle, kas ja kui mitmeks ametiajaks saab järelevalveasutuse liiget või liikmeid ametisse tagasi nimetada, ning |
| Section 2 | f) | tingimused, mis reguleerivad järelevalveasutuse liikme või liikmete ja töötajate kohustusi, nende kohustustega kokkusobimatuid tegevusi, tegevusalasid ja hüvesid ametiajal ja pärast selle lõppu ning töösuhte lõppu käsitlevad normid. |
| Competence, tasks and powers | 2. Järelevalveasutuse liige või liikmed ja töötajad on kooskõlas liidu või liikmesriigi õigusega kohustatud nii ametiaja jooksul kui ka pärast seda hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis on neile teatavaks saanud nende ülesannete täitmisel või volituste kasutamisel. Liikmete ametiaja jooksul kohaldatakse kõnealust ametisaladuse hoidmise kohustust eelkõige juhtudel, kui füüsilisi isikud teavitavad käesoleva direktiivi rikkumistest. |
| Article 45 | 2. jagu |
| Competence | Pädevus, ülesanded ja volitused |
| 1. Each Member State shall provide for each supervisory authority to be competent for the performance of the tasks assigned to, and for the exercise of the powers conferred on, it in accordance with this Directive on the territory of its own Member State. | Artikkel 45 |
| 2. Each Member State shall provide for each supervisory authority not to be competent for the supervision of processing operations of courts when acting in their judicial capacity. Member States may provide for their supervisory authority not to be competent to supervise processing operations of other independent judicial authorities when acting in their judicial capacity. | Pädevus |
| Article 46 | 1. Liikmesriigid näevad ette, et nende järelevalveasutused on oma liikmesriigi territooriumil pädevad täitma ülesandeid ja kasutama volitusi, mis on neile kooskõlas käesoleva direktiiviga pandud. |
| Tasks | 2. Liikmesriigid näevad ette, et nende järelevalveasutused ei ole pädevad valvama kohtute isikuandmete töötlemise toimingute järele, kui kohtud täidavad õigusemõistmise funktsiooni. Liikmesriigid võivad sätestada, et nende järelevalveasutused ei ole pädevad valvama muude sõltumatute õigusasutuste isikuandmete töötlemise toimingute järele, kui need õigusasutused teevad menetlusotsuseid. |
| 1. Each Member State shall provide, on its territory, for each supervisory authority to: | Artikkel 46 |
| (a) | monitor and enforce the application of the provisions adopted pursuant to this Directive and its implementing measures; | Ülesanded |
| (b) | promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing; | 1. Liikmesriigid näevad ette, et järelevalveasutusel on liikmesriigi territooriumil järgmised ülesanded: |
| (c) | advise, in accordance with Member State law, the national parliament, the government and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons' rights and freedoms with regard to processing; | a) | valvata käesoleva direktiivi kohaselt vastu võetud sätete ja direktiivi rakendusmeetmete kohaldamise järele ning nende tagada kohaldamist; |
| (d) | promote the awareness of controllers and processors of their obligations under this Directive; | b) | suurendada üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise kohta kehtivatest normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest; |
| (e) | upon request, provide information to any data subject concerning the exercise of their rights under this Directive and, if appropriate, cooperate with the supervisory authorities in other Member States to that end; | c) | nõustada kooskõlas liikmesriigi õigusega liikmesriigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel; |
| (f) | deal with complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 55, and investigate, to the extent appropriate, the subject-matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary; | d) | edendada vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva direktiivi kohastest kohustustest; |
| (g) | check the lawfulness of processing pursuant to Article 17, and inform the data subject within a reasonable period of the outcome of the check pursuant to paragraph 3 of that Article or of the reasons why the check has not been carried out; | e) | anda andmesubjektile taotluse korral teavet tema käesolevast direktiivist tulenevate õiguste teostamise kohta ja teha asjakohasel juhul sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega; |
| (h) | cooperate with, including by sharing information, and provide mutual assistance to other supervisory authorities, with a view to ensuring the consistency of application and enforcement of this Directive; | f) | käsitleda andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 55 kohaselt esitatud kaebusi, uurida asjakohasel määral kaebuste sisu ning teavitada kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega; |
| (i) | conduct investigations on the application of this Directive, including on the basis of information received from another supervisory authority or other public authority; | g) | kontrollida isikuandmete töötlemise seaduslikkust vastavalt artiklile 17 ning teavitada andmesubjekti mõistliku aja jooksul artikli 17 lõike 3 kohase kontrollimise tulemusest või kontrolli teostamata jätmise põhjustest; |
| (j) | monitor relevant developments insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies; | h) | teha koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet, ja osutada vastastikust abi, et tagada käesoleva direktiivi ühetaoline kohaldamine ja täitmise tagamine; |
| (k) | provide advice on the processing operations referred to in Article 28; and | i) | toimetada uurimisi käesoleva direktiivi kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal; |
| (l) | contribute to the activities of the Board. | j) | jälgida asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja kommunikatsioonitehnoloogia arengut; |
| 2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as providing a complaint submission form which can also be completed electronically, without excluding other means of communication. | k) | anda nõu artiklis 28 osutatud isikuandmete töötlemise toimingute osas ning |
| 3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and for the data protection officer. | l) | anda panus andmekaitsenõukogu tegevusse. |
| 4. Where a request is manifestly unfounded or excessive, in particular because it is repetitive, the supervisory authority may charge a reasonable fee based on its administrative costs, or may refuse to act on the request. The supervisory authority shall bear the burden of demonstrating that the request is manifestly unfounded or excessive. | 2. Järelevalveasutus võtab meetmeid lõike 1 punktis f osutatud kaebuste esitamise hõlbustamiseks, näiteks annab kaebuste esitamise vormi, mida saab ka täita elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist. |
| Article 47 | 3. Järelevalveasutus täidab oma ülesandeid andmesubjekti ja andmekaitseametniku jaoks tasuta. |
| Powers | 4. Kui taotlus on selgelt põhjendamatu või ülemäärane, eelkõige oma korduva iseloomu tõttu, võib järelevalveasutus nõuda oma halduskuludel põhinevat mõistlikku tasu või keelduda taotlust menetlemast. Järelevalveasutus on kohustatud tõendama, et taotlus on selgelt põhjendamatu või ülemäärane. |
| 1. Each Member State shall provide by law for each supervisory authority to have effective investigative powers. Those powers shall include at least the power to obtain from the controller and the processor access to all personal data that are being processed and to all information necessary for the performance of its tasks. | Artikkel 47 |
| 2. Each Member State shall provide by law for each supervisory authority to have effective corrective powers such as, for example: | Volitused |
| (a) | to issue warnings to a controller or processor that intended processing operations are likely to infringe the provisions adopted pursuant to this Directive; | 1. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad uurimisvolitused. Kõnealused volitused hõlmavad vähemalt õigust saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele töödeldavatele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks. |
| (b) | to order the controller or processor to bring processing operations into compliance with the provisions adopted pursuant to this Directive, where appropriate, in a specified manner and within a specified period, in particular by ordering the rectification or erasure of personal data or restriction of processing pursuant to Article 16; | 2. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad parandusvolitused, näiteks järgmised: |
| (c) | to impose a temporary or definitive limitation, including a ban, on processing. | a) | hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesolevat direktiivi; |
| 3. Each Member State shall provide by law for each supervisory authority to have effective advisory powers to advise the controller in accordance with the prior consultation procedure referred to in Article 28 and to issue, on its own initiative or on request, opinions to its national parliament and its government or, in accordance with its national law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data. | b) | anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud tähtaja jooksul vastavusse käesoleva direktiiviga, eelkõige nõudes isikuandmete parandamist, kustutamist või isikuandmete töötlemise piiramist vastavalt artiklile 16; |
| 4. The exercise of the powers conferred on the supervisory authority pursuant to this Article shall be subject to appropriate safeguards, including effective judicial remedy and due process, as set out in Union and Member State law in accordance with the Charter. | c) | kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas isikuandmete töötlemise keeld. |
| 5. Each Member State shall provide by law for each supervisory authority to have the power to bring infringements of provisions adopted pursuant to this Directive to the attention of judicial authorities and, where appropriate, to commence or otherwise engage in legal proceedings, in order to enforce the provisions adopted pursuant to this Directive. | 3. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad nõuandevolitused nõustada vastutavat töötlejat kooskõlas artiklis 28 osutatud eelneva konsulteerimise menetluse käigus ning esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi liikmesriigi parlamendile, valitsusele või kooskõlas liikmesriigi õigusega muudele institutsioonidele ja asutustele ning samuti avalikkusele. |
| Article 48 | 4. Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga. |
| Reporting of infringements | 5. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva direktiivi kohaselt vastu võetud sätete rikkumistele ning algatada asjakohasel juhul kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva direktiivi kohaselt vastu võetud sätete täitmine. |
| Member States shall provide for competent authorities to put in place effective mechanisms to encourage confidential reporting of infringements of this Directive. | Artikkel 48 |
| Article 49 | Rikkumistest teatamine |
| Activity reports | Liikmesriigid näevad ette, et pädevad asutused võtavad kasutusele tõhusad mehhanismid, et ergutada konfidentsiaalset teatamist käesoleva direktiivi rikkumistest. |
| Each supervisory authority shall draw up an annual report on its activities, which may include a list of types of infringement notified and types of penalties imposed. Those reports shall be transmitted to the national parliament, the government and other authorities as designated by Member State law. They shall be made available to the public, the Commission and the Board. | Artikkel 49 |
| CHAPTER VII | Tegevusaruanne |
| Cooperation | Järelevalveasutus koostab oma tegevuse kohta aastaaruande, mis võib sisaldada teavitatud rikkumiste ja määratud karistuste liikide loetelu. Aruanded edastatakse liikmesriigi parlamendile, valitsusele ja muudele liikmesriigi õigusega kindlaks määratud asutustele. Aruanne tehakse kättesaadavaks avalikkusele, komisjonile ja andmekaitsenõukogule. |
| Article 50 | VII PEATÜKK |
| Mutual assistance | Koostöö |
| 1. Each Member State shall provide for their supervisory authorities to provide each other with relevant information and mutual assistance in order to implement and apply this Directive in a consistent manner, and to put in place measures for effective cooperation with one another. Mutual assistance shall cover, in particular, information requests and supervisory measures, such as requests to carry out consultations, inspections and investigations. | Artikkel 50 |
| 2. Each Member States shall provide for each supervisory authority to take all appropriate measures required to reply to a request of another supervisory authority without undue delay and no later than one month after receiving the request. Such measures may include, in particular, the transmission of relevant information on the conduct of an investigation. | Vastastikune abi |
| 3. Requests for assistance shall contain all the necessary information, including the purpose of and reasons for the request. Information exchanged shall be used only for the purpose for which it was requested. | 1. Liikmesriigid näevad ette, et nende järelevalveasutused annavad üksteisele asjakohast teavet ja vastastikust abi käesoleva direktiivi järjepidevaks rakendamiseks ja kohaldamiseks ning võtavad meetmeid omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi konsultatsioonide, kontrollide ja uurimiste läbiviimiseks. |
| 4. The requested supervisory authority shall not refuse to comply with the request unless: | 2. Liikmesriigid näevad ette, et järelevalveasutus võtab kõik asjakohased meetmed, et vastata teisele järelevalveasutusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Sellised meetmed võivad eelkõige hõlmata asjakohase teabe edastamist uurimise toimetamise kohta. |
| (a) | it is not competent for the subject-matter of the request or for the measures it is requested to execute; or | 3. Abitaotlus sisaldab kogu vajalikku teavet, sealhulgas taotluse eesmärki ja põhjuseid. Vahetatud teavet kasutatakse üksnes sel eesmärgil, milleks seda taotleti. |
| (b) | compliance with the request would infringe this Directive or Union or Member State law to which the supervisory authority receiving the request is subject. | 4. Taotluse saanud järelevalveasutus ei või selle täitmisest keelduda, välja arvatud juhul, kui |
| 5. The requested supervisory authority shall inform the requesting supervisory authority of the results or, as the case may be, of the progress of the measures taken in order to respond to the request. The requested supervisory authority shall provide reasons for any refusal to comply with a request pursuant to paragraph 4. | a) | ta ei ole taotluse sisu või temalt nõutavate meetmete rakendamise küsimuses pädev või |
| 6. Requested supervisory authorities shall, as a rule, supply the information requested by other supervisory authorities by electronic means, using a standardised format. | b) | taotluse täitmine rikuks käesolevat direktiivi või taotluse saanud järelevalveasutusele kohaldatava liidu või liikmesriigi õigust. |
| 7. Requested supervisory authorities shall not charge a fee for any action taken by them pursuant to a request for mutual assistance. Supervisory authorities may agree on rules to indemnify each other for specific expenditure arising from the provision of mutual assistance in exceptional circumstances. | 5. Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või asjakohasel juhul asjade käigust või meetmetest, mis võetakse taotlusele vastamiseks. Taotluse saanud järelevalveasutus esitab taotluse täitmisest keeldumise põhjused vastavalt lõikele 4. |
| 8. The Commission may, by means of implementing acts, specify the format and procedures for mutual assistance referred to in this Article and the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 58(2). | 6. Taotluse saanud järelevalveasutused esitavad teiste järelevalveasutuste taotletud teabe üldjuhul elektrooniliselt, kasutades selleks tüüpvormi. |
| Article 51 | 7. Taotluse saanud järelevalveasutused ei võta nende poolt vastastikuse abi taotluse alusel võetud meetmete eest tasu. Järelevalveasutused võivad kokku leppida vastastikuse abi osutamisel erandjuhtudel tekkivate konkreetsete kulude üksteisele hüvitamise normid. |
| Tasks of the Board | 8. Komisjon võib rakendusaktidega kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega. |
| 1. The Board established by Regulation (EU) 2016/679 shall perform all of the following tasks in relation to processing within the scope of this Directive: | Artikkel 51 |
| (a) | advise the Commission on any issue related to the protection of personal data in the Union, including on any proposed amendment of this Directive; | Andmekaitsenõukogu ülesanded |
| (b) | examine, on its own initiative, on request of one of its members or on request of the Commission, any question covering the application of this Directive and issue guidelines, recommendations and best practices in order to encourage consistent application of this Directive; | 1. Määrusega (EL) 2016/679 asutatud andmekaitsenõukogu täidab käesoleva direktiivi kohaldamisalasse kuuluva isikuandmete töötlemise valdkonnas järgmisi ülesandeid: |
| (c) | draw up guidelines for supervisory authorities concerning the application of measures referred to in Article 47(1) and (3); | a) | annab komisjonile nõu liidus isikuandmete kaitse küsimustes, sealhulgas käesoleva direktiivi muutmise ettepanekute kohta; |
| (d) | issue guidelines, recommendations and best practices in accordance with point (b) of this subparagraph for establishing personal data breaches and determining the undue delay referred to in Article 30(1) and (2) and for the particular circumstances in which a controller or a processor is required to notify the personal data breach; | b) | vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva direktiivi kohaldamist käsitlevaid küsimusi ning annab käesoleva direktiivi järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid; |
| (e) | issue guidelines, recommendations and best practices in accordance with point (b) of this subparagraph as to the circumstances in which a personal data breach is likely to result in a high risk to the rights and freedoms of natural persons as referred to in Article 31(1); | c) | koostab järelevalveasutustele suuniseid seoses artikli 47 lõigetes 1 ja 3 osutatud meetmete kohaldamisega; |
| (f) | review the practical application of the guidelines, recommendations and best practices referred to in points (b) and (c); | d) | annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga b, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 30 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama; |
| (g) | provide the Commission with an opinion for the assessment of the adequacy of the level of protection in a third country, a territory or one or more specified sectors within a third country, or an international organisation, including for the assessment whether such a third country, territory, specified sector, or international organisation no longer ensures an adequate level of protection; | e) | annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga b, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tuua tõenäoliselt kaasa suure ohtu füüsiliste isikute õigustele ja vabadustele, nagu on osutatud artikli 31 lõikes 1; |
| (h) | promote the cooperation and the effective bilateral and multilateral exchange of information and best practices between the supervisory authorities; | f) | vaatab läbi punktides b ja c osutatud suuniste, soovituste ja parimate tavade praktilise kohaldamise; |
| (i) | promote common training programmes and facilitate personnel exchanges between the supervisory authorities and, where appropriate, with the supervisory authorities of third countries or with international organisations; | g) | esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis, territooriumil või ühes või mitmes kolmanda riigi konkreetses sektoris või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas selline kolmas riik, territoorium, kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset; |
| (j) | promote the exchange of knowledge and documentation on data protection law and practice with data protection supervisory authorities worldwide. | h) | edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja parimate tavade vahetamist; |
| With regard to point (g) of the first subparagraph, the Commission shall provide the Board with all necessary documentation, including correspondence with the government of the third country, with the territory or specified sector within that third country, or with the international organisation. | i) | edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega; |
| 2. Where the Commission requests advice from the Board, it may indicate a time limit, taking into account the urgency of the matter. | j) | edendab teadmiste ja dokumentide vahetamist andmekaitset käsitleva õiguse ja tava kohta andmekaitse järelevalveasutustega kogu maailmas. |
| 3. The Board shall forward its opinions, guidelines, recommendations and best practices to the Commission and to the committee referred to in Article 58(1) and make them public. | Seoses esimese lõigu punktiga g esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, kõnealuse kolmanda riigi, territooriumi või kõnealuse kolmanda riigi kindlaksmääratud sektoriga või rahvusvahelise organisatsiooniga. |
| 4. The Commission shall inform the Board of the action it has taken following opinions, guidelines, recommendations and best practices issued by the Board. | 2. Kui komisjon küsib andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust. |
| CHAPTER VIII | 3. Andmekaitsenõukogu esitab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artikli 58 lõikes 1 osutatud komiteele ning avalikustab need. |
| Remedies, liability and penalties | 4. Komisjon teavitab andmekaitsenõukogu meetmetest, mida ta võtnud andmekaitsenõukogu arvamuste, suuniste, soovituste ja parimate tavade alusel. |
| Article 52 | VIII PEATÜKK |
| Right to lodge a complaint with a supervisory authority | Õiguskaitsevahendid, vastutus ja karistused |
| 1. Without prejudice to any other administrative or judicial remedy, Member States shall provide for every data subject to have the right to lodge a complaint with a single supervisory authority, if the data subject considers that the processing of personal data relating to him or her infringes provisions adopted pursuant to this Directive. | Artikkel 52 |
| 2. Member States shall provide for the supervisory authority with which the complaint has been lodged to transmit it to the competent supervisory authority, without undue delay if the complaint is not lodged with the supervisory authority that is competent pursuant to Article 45(1). The data subject shall be informed about the transmission. | Õigus esitada järelevalveasutusele kaebus |
| 3. Member States shall provide for the supervisory authority with which the complaint has been lodged to provide further assistance on request of the data subject. | 1. Ilma et see piiraks teiste halduslike kaitsevahendite või õiguskaitsevahendite kohaldamist, näevad liikmesriigid ette, et andmesubjektil on õigus esitada kaebus ühele järelevalveasutusele, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesoleva direktiivi kohaselt vastu võetud sätteid. |
| 4. The data subject shall be informed by the competent supervisory authority of the progress and the outcome of the complaint, including of the possibility of a judicial remedy pursuant to Article 53. | 2. Liikmesriigid näevad ette, et järelevalveasutus, kellele kaebus esitati, edastab selle põhjendamatu viivituseta pädevale järelevalveasutusele, kui kaebust ei esitata sellele järelevalveasutusele, kes on pädev vastavalt artikli 45 lõikele 1. Andmesubjekti teavitatakse kaebuse edastamisest. |
| Article 53 | 3. Liikmesriigid näevad ette, et järelevalveasutus, kellele kaebus esitati, annab andmesubjekti taotluse korral talle edasist abi. |
| Right to an effective judicial remedy against a supervisory authority | 4. Pädev järelevalveasutus teavitab andmesubjekti kaebuse menetlemise edenemisest ja tulemusest, kaasa arvatud artikli 53 kohase õiguskaitsevahendi kasutamise võimalusest. |
| 1. Without prejudice to any other administrative or non-judicial remedy, Member States shall provide for the right of a natural or legal person to an effective judicial remedy against a legally binding decision of a supervisory authority concerning them. | Artikkel 53 |
| 2. Without prejudice to any other administrative or non-judicial remedy, each data subject shall have the right to an effective judicial remedy where the supervisory authority which is competent pursuant to Article 45(1) does not handle a complaint or does not inform the data subject within three months of the progress or outcome of the complaint lodged pursuant to Article 52. | Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu |
| 3. Member States shall provide for proceedings against a supervisory authority to be brought before the courts of the Member State where the supervisory authority is established. | 1. Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, näevad liikmesriigid ette, et füüsilisel ja juriidilisel isikul on õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab. |
| Article 54 | 2. Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui artikli 45 lõike 1 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 52 kohaselt esitatud kaebuse menetlemise käigust või tulemustest. |
| Right to an effective judicial remedy against a controller or processor | 3. Liikmesriigid näevad ette, et menetlus järelevalveasutuse vastu algatatakse selle liikmesriigi kohtus, kus järelevalveasutus on asutatud. |
| Without prejudice to any available administrative or non-judicial remedy, including the right to lodge a complaint with a supervisory authority pursuant to Article 52, Member States shall provide for the right of a data subject to an effective judicial remedy where he or she considers that his or her rights laid down in provisions adopted pursuant to this Directive have been infringed as a result of the processing of his or her personal data in non-compliance with those provisions. | Artikkel 54 |
| Article 55 | Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu |
| Representation of data subjects | Ilma et see piiraks kättesaadavate halduslike kaitsevahendite või kohtuväliste heastamisvahendite kasutamist, sealhulgas artikli 52 kohast õigust esitada kaebus järelevalveasutusele, näevad liikmesriigid ette, et andmesubjektil, kes leiab, et käesoleva direktiivi sätteid rikkuva isikuandmete töötlemise tulemusena on rikutud kõnealustest sätetest talle tulenevaid õigusi, on õigus kasutada tõhusat õiguskaitsevahendit. |
| Member States shall, in accordance with Member State procedural law, provide for the data subject to have the right to mandate a not-for-profit body, organisation or association which has been properly constituted in accordance with Member State law, has statutory objectives which are in the public interest and is active in the field of protection of data subject's rights and freedoms with regard to the protection of their personal data to lodge the complaint on his or her behalf and to exercise the rights referred to in Articles 52, 53 and 54 on his or her behalf. | Artikkel 55 |
| Article 56 | Andmesubjektide esindamine |
| Right to compensation | Liikmesriigid näevad kooskõlas oma menetlusõigusega ette, et andmesubjektil on õigus volitada mittetulunduslikku asutust, organisatsiooni või ühendust, kes on vastavalt liikmesriigi õigusele nõuetekohaselt asutatud, kelle põhikirjajärgsed eesmärgid on avalikes huvides ja kes tegutseb andmesubjektide õiguste ja vabaduste kaitsmise valdkonnas seoses nende isikuandmete kaitsmisega, esitama tema nimel kaebust ja teostama tema nimel artiklites 52, 53 ja 54 osutatud õigusi. |
| Member States shall provide for any person who has suffered material or non-material damage as a result of an unlawful processing operation or of any act infringing national provisions adopted pursuant to this Directive to have the right to receive compensation for the damage suffered from the controller or any other authority competent under Member State law. | Artikkel 56 |
| Article 57 | Õigus hüvitisele |
| Penalties | Liikmesriigid näevad ette, et igal isikul, kellele on tekitatud varaline või mittevaraline kahju ebaseadusliku isikuandmete töötlemise toimingu või käesoleva direktiivi kohaselt vastu võetud liikmesriigi sätteid rikkuva toimingu tagajärjel, on õigus saada vastutavalt töötlejalt või mõnelt muult liikmesriigi õiguse alusel pädevalt asutuselt hüvitist tekitatud kahju eest. |
| Member States shall lay down the rules on penalties applicable to infringements of the provisions adopted pursuant to this Directive and shall take all measures necessary to ensure that they are implemented. The penalties provided for shall be effective, proportionate and dissuasive. | Artikkel 57 |
| CHAPTER IX | Karistused |
| Implementing acts | Liikmesriigid kehtestavad karistusnormid, mida kohaldatakse käesoleva direktiivi kohaselt vastu võetud sätete rikkumise korral, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Kehtestatud karistused peavad olema tõhusad, proportsionaalsed ja heidutavad. |
| Article 58 | IX PEATÜKK |
| Committee procedure | Rakendusaktid |
| 1. The Commission shall be assisted by the committee established by Article 93 of Regulation (EU) 2016/679. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011. | Artikkel 58 |
| 2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply. | Komiteemenetlus |
| 3. Where reference is made to this paragraph, Article 8 of Regulation (EU) No 182/2011, in conjunction with Article 5 thereof, shall apply. | 1. Komisjoni abistab määruse (EL) 2016/679 artikli 93 alusel loodud komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses. |
| CHAPTER X | 2. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5. |
| Final provisions | 3. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 8 koostoimes nimetatud määruse artikliga 5. |
| Article 59 | X PEATÜKK |
| Repeal of Framework Decision 2008/977/JHA | Lõppsätted |
| 1. Framework Decision 2008/977/JHA is repealed with effect from 6 May 2018. | Artikkel 59 |
| 2. References to the repealed Decision referred to in paragraph 1 shall be construed as references to this Directive. | Raamotsuse 2008/977/JSK kehtetuks tunnistamine |
| Article 60 | 1. Raamotsus 2008/977/JSK tunnistatakse kehtetuks alates 6. maist 2018. |
| Union legal acts already in force | 2. Viiteid lõikes 1 osutatud kehtetuks tunnistatud otsusele käsitatakse viidetena käesolevale direktiivile. |
| The specific provisions for the protection of personal data in Union legal acts that entered into force on or before 6 May 2016 in the field of judicial cooperation in criminal matters and police cooperation, which regulate processing between Member States and the access of designated authorities of Member States to information systems established pursuant to the Treaties within the scope of this Directive, shall remain unaffected. | Artikkel 60 |
| Article 61 | Kehtivad liidu õigusaktid |
| Relationship with previously concluded international agreements in the field of judicial cooperation in criminal matters and police cooperation | Käesolev direktiiv ei mõjuta isikuandmete kaitse erisätteid, mis jõustusid 6. mail 2016 või enne seda kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas vastu võetud liidu õigusaktides, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluslepingute kohaselt käesoleva direktiivi kohaldamisala ulatuses loodud infosüsteemidele. |
| International agreements involving the transfer of personal data to third countries or international organisations which were concluded by Member States prior to 6 May 2016 and which comply with Union law as applicable prior to that date shall remain in force until amended, replaced or revoked. | Artikkel 61 |
| Article 62 | Seos varem sõlmitud rahvusvaheliste lepingutega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal |
| Commission reports | Isikuandmete kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist hõlmavad rahvusvahelised lepingud, mille liikmesriigid sõlmisid enne 6. maid 2016, ja mida kohaldati kooskõlas liidu õigusega enne 6. maid 2016, jäävad jõusse kuni nende muutmise, asendamise või lõpetamiseni. |
| 1. By 6 May 2022, and every four years thereafter, the Commission shall submit a report on the evaluation and review of this Directive to the European Parliament and to the Council. The reports shall be made public. | Artikkel 62 |
| 2. In the context of the evaluations and reviews referred to in paragraph 1, the Commission shall examine, in particular, the application and functioning of Chapter V on the transfer of personal data to third countries or international organisations with particular regard to decisions adopted pursuant to Article 36(3) and Article 39. | Komisjoni aruanded |
| 3. For the purposes of paragraphs 1 and 2, the Commission may request information from Member States and supervisory authorities. | 1. Hiljemalt 6. mail 2022 ja seejärel iga nelja aasta tagant esitab komisjon Euroopa Parlamendile ja nõukogule aruande käesoleva direktiivi hindamise ja läbivaatamise kohta. |
| 4. In carrying out the evaluations and reviews referred to in paragraphs 1 and 2, the Commission shall take into account the positions and findings of the European Parliament, of the Council and of other relevant bodies or sources. | 2. Lõikes 1 osutatud hindamiste ja läbivaatamiste käigus analüüsib komisjon eelkõige isikuandmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamist käsitleva V peatüki sätete kohaldamist ja toimimist, pöörates erilist tähelepanu artikli 36 lõike 3 ja artikli 39 kohaselt vastu võetud otsustele. |
| 5. The Commission shall, if necessary, submit appropriate proposals with a view to amending this Directive, in particular taking account of developments in information technology and in the light of the state of progress in the information society. | 3. Lõigetes 1 ja 2 osutatud eesmärkidel võib komisjon taotleda teavet liikmesriikidelt ja järelevalveasutustelt. |
| 6. By 6 May 2019, the Commission shall review other legal acts adopted by the Union which regulate processing by the competent authorities for the purposes set out in Article 1(1) including those referred to in Article 60, in order to assess the need to align them with this Directive and to make, where appropriate, the necessary proposals to amend those acts to ensure a consistent approach to the protection of personal data within the scope of this Directive. | 4. Lõigetes 1 ja 2 osutatud hindamistel ja läbivaatamistel võtab komisjon arvesse Euroopa Parlamendi, nõukogu ning muude asjaomaste asutuste ja allikate seisukohti ja tähelepanekuid. |
| Article 63 | 5. Vajaduse korral esitab komisjon asjakohased ettepanekud käesoleva direktiivi muutmiseks, võttes eelkõige arvesse infotehnoloogia ja -ühiskonna arengut. |
| Transposition | 6. Komisjon vaatab hiljemalt 6. mail 2019 läbi muud liidu vastu võetud õigusaktid, millega reguleeritakse pädevate asutuste poolt isikuandmete töötlemist artikli 1 lõikes 1 sätestatud eesmärkidel, kaasa arvatud artiklis 60 osutatud õigusaktid, et hinnata vajadust viia need vastavusse käesoleva direktiiviga ning asjakohasel juhul teha vajalikud ettepanekud nende muutmiseks, et tagada järjepidev lähenemine isikuandmete kaitsele käesoleva direktiivi kohaldamisalas. |
| 1. Member States shall adopt and publish, by 6 May 2018, the laws, regulations and administrative provisions necessary to comply with this Directive. They shall forthwith notify to the Commission the text of those provisions. They shall apply those provisions from 6 May 2018. | Artikkel 63 |
| When Member States adopt those provisions, they shall contain a reference to this Directive or shall be accompanied by such a reference on the occasion of their official publication. Member States shall determine how such reference is to be made. | Ülevõtmine |
| 2. By way of derogation from paragraph 1, a Member State may provide, exceptionally, where it involves disproportionate effort, for automated processing systems set up before 6 May 2016 to be brought into conformity with Article 25(1) by 6 May 2023. | 1. Liikmesriigid võtavad vastu ja avaldavad käesoleva direktiivi järgimiseks vajalikud õigus- ja haldusnormid hiljemalt 6. mail 2018. Nad edastavad kõnealuste normide teksti viivitamata komisjonile. Nad kohaldavad kõnealuseid norme alates 6. maist 2018. |
| 3. By way of derogation from paragraphs 1 and 2 of this Article, a Member State may, in exceptional circumstances, bring an automated processing system as referred to in paragraph 2 of this Article into conformity with Article 25(1) within a specified period after the period referred to in paragraph 2 of this Article, if it would otherwise cause serious difficulties for the operation of that particular automated processing system. The Member State concerned shall notify the Commission of the grounds for those serious difficulties and the grounds for the specified period within which it shall bring that particular automated processing system into conformity with Article 25(1). The specified period shall in any event not be later than 6 May 2026. | Kui liikmesriigid need normid vastu võtavad, lisavad nad nende ametlikul avaldamisel nendesse või nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad ette liikmesriigid. |
| 4. Member States shall communicate to the Commission the text of the main provisions of national law which they adopt in the field covered by this Directive. | 2. Erandina lõikest 1 võib liikmesriik sätestada, et kui sellega kaasneb ebaproportsionaalne jõupingutus, viiakse enne 6. maid 2016 loodud automatiseeritud isikuandmete töötlemissüsteemid erandjuhul artikli 25 lõikega 1 vastavusse 6. maiks 2023. |
| Article 64 | 3. Erandina käesoleva artikli lõigetest 1 ja 2 võib liikmesriik erandlike asjaolude korral viia käesoleva artikli lõikes 2 osutatud automatiseeritud isikuandmete töötlemissüsteemi vastavusse artikli 25 lõikega 1 kindlaksmääratud tähtaja jooksul pärast käesoleva artikli lõikes 2 osutatud tähtaega, kui vastasel juhul tekiks tõsiseid raskusi kõnealuse konkreetse automatiseeritud töötlemissüsteemi toimimises. Asjaomane liikmesriik teavitab komisjoni kõnealuste tõsiste raskuste põhjustest ja sellise kindlaksmääratud tähtaja põhjustest, mille jooksul ta viib nimetatud konkreetse automatiseeritud töötlemissüsteemi vastavusse artikli 25 lõikega 1. Kindlaksmääratud tähtpäev ei või mingil juhul olla hilisem kui 6. mai 2026. |
| Entry into force | 4. Liikmesriigid edastavad komisjonile käesoleva direktiiviga reguleeritavas valdkonnas vastuvõetud põhiliste siseriiklike õigusnormide teksti. |
| This Directive shall enter into force on the day following that of its publication in the Official Journal of the European Union. | Artikkel 64 |
| Article 65 | Jõustumine |
| Addressees | Käesolev direktiiv jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas. |
| This Directive is addressed to the Member States. | Artikkel 65 |
| Done at Brussels, 27 April 2016. | Adressaadid |
| For the European Parliament | Käesolev direktiiv on adresseeritud liikmesriikidele. |
| The President | Brüssel, 27. aprill 2016 |
| M. SCHULZ | Euroopa Parlamendi nimel |
| For the Council | president |
| The President | M. SCHULZ |
| J.A. HENNIS-PLASSCHAERT | Nõukogu nimel |
| (1)
OJ C 391, 18.12.2012, p. 127. | eesistuja |
| (2) Position of the European Parliament of 12 March 2014 (not yet published in the Official Journal) and position of the Council at first reading of 8 April 2016 (not yet published in the Official Journal). Position of the European Parliament of 14 April 2016. | J.A. HENNIS-PLASSCHAERT |
| (3) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ L 281, 23.11.1995, p. 31). | (1)
ELT C 391, 18.12.2012, lk 127. |
| (4) Council Framework Decision 2008/977/JHA of 27 November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters (OJ L 350, 30.12.2008, p. 60). | (2) Euroopa Parlamendi 12. märtsi 2014. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 8. aprilli 2016. aasta esimese lugemise seisukoht (Euroopa Liidu Teatajas seni avaldamata). Euroopa Parlamendi 14. aprilli 2016. aasta seisukoht. |
| (5) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation) (see page 1 of this Official Journal). | (3) Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31). |
| (6) Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data (OJ L 8, 12.1.2001, p. 1). | (4) Nõukogu 27. novembri 2008. aasta raamotsus 2008/977/JSK kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta (ELT L 350, 30.12.2008, lk 60). |
| (7) Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). | (5) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) ning millega tunnistatakse kehtetuks direktiiv 95/46/EÜ (vt käesoleva Euroopa Liidu Teataja lk 1). |
| (8) Council Common Position 2005/69/JHA of 24 January 2005 on exchanging certain data with Interpol (OJ L 27, 29.1.2005, p. 61). | (6) Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1). |
| (9) Council Decision 2007/533/JHA of 12 June 2007 on the establishment, operation and use of the second generation Schengen Information System (SIS II) (OJ L 205, 7.8.2007, p. 63). | (7) Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45). |
| (10) Council Directive 77/249/EEC of 22 March 1977 to facilitate the effective exercise by lawyers of freedom to provide services (OJ L 78, 26.3.1977, p. 17). | (8) Nõukogu 24. jaanuari 2005. aasta ühine seisukoht 2005/69/JSK teatavate andmete vahetamise kohta Interpoliga (ELT L 27, 29.1.2005, lk 61). |
| (11) Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by the Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). | (9) Nõukogu 12. juuni 2007. aasta otsus 2007/533/JSK, mis käsitleb teise põlvkonna Schengeni infosüsteemi (SIS II) loomist, toimimist ja kasutamist (ELT L 205, 7.8.2007, lk 63). |
| (12) Council Decision 2008/615/JHA of 23 June 2008 on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime (OJ L 210, 6.8.2008, p. 1). | (10) Nõukogu 22. märtsi 1977. aasta direktiiv 77/249/EMÜ õigusteenuste osutamise vabaduse tulemuslikuma elluviimise kohta (EÜT L 78, 26.3.1977, lk 17). |
| (13) Council Act of 29 May 2000 establishing in accordance with Article 34 of the Treaty on European Union the Convention on Mutual Assistance in Criminal Matters between the Member States of the European Union (OJ C 197, 12.7.2000, p. 1). | (11) Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13). |
| (14) Directive 2011/93/EU of the European Parliament and of the Council of 13 December 2011 on combating the sexual abuse and sexual exploitation of children and child pornography, and replacing Council Framework Decision 2004/68/JHA (OJ L 335, 17.12.2011, p. 1). | (12) Nõukogu 23. juuni 2008. aasta otsus 2008/615/JSK piiriülese koostöö tõhustamise kohta, eelkõige seoses terrorismi- ja piiriülese kuritegevuse vastase võitlusega (ELT L 210, 6.8.2008, lk 1). |
| (15)
OJ L 176, 10.7.1999, p. 36. | (13) Nõukogu 29. mai 2000. aasta akt, millega kehtestatakse Euroopa Liidu lepingu artikli 34 kohane konventsioon Euroopa Liidu riikide vahelise vastastikuse õigusabi kohta kriminaalasjades (EÜT C 197, 12.7.2000, lk 1). |
| (16)
OJ L 53, 27.2.2008, p. 52. | (14) Euroopa Parlamendi ja nõukogu 13. detsembri 2011. aasta direktiiv 2011/93/EL, mis käsitleb laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastast võitlust ja mis asendab nõukogu raamotsuse 2004/68/JSK (ELT L 335, 17.12.2011, lk 1). |
| (17)
OJ L 160, 18.6.2011, p. 21. | (15)
EÜT L 176, 10.7.1999, lk 36. |
| (18)
OJ C 192, 30.6.2012, p. 7. | (16)
ELT L 53, 27.2.2008, lk 52. |
| | (17)
ELT L 160, 18.6.2011, lk 21. |
| | (18)
ELT C 192, 30.6.2012, lk 7. |
