(1)

Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikli 8 lõikes 1 ja ELi toimimise lepingu artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

(2)

Isikuandmete töötlemine on mõeldud teenima inimkonda ning üksikisikute kaitse põhimõtete ja eeskirjadega nende isikuandmete töötlemisel tuleks füüsiliste isikute rahvusest ja elukohast sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Isikuandmete töötlemine peaks kaasa aitama vabadusel, turvalisusel ja õigusel rajaneva ala ning majandusliidu saavutamisele, majanduslikule ja sotsiaalsele arengule, majanduse tugevdamisele ja lähendamisele siseturul ning üksikisikute heaolule.

(3)

Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ (4) eesmärk on ühtlustada füüsiliste isikute põhiõiguste ja -vabaduste kaitset töötlemistoimingutel ning tagada isikuandmete vaba liikumine liikmesriikide vahel.

(4)

Siseturu toimimisest tulenev majandus- ja sotsiaalne integratsioon on isikuandmete piirideüleseid vooge märkimisväärselt suurendanud. Majandus- ja sotsiaal- ning avaliku ja erasektori osalejate vaheline andmevahetus on suurenenud terves Euroopa Liidus. Liikmesriikide ametiasutusi kutsutakse liidu õigusaktidega üles koostööle ja isikuandmete vahetamisele, et neil oleks võimalik täita oma ülesandeid või teha seda teise liikmesriigi ametiasutuse nimel.

(5)

Kiire tehnoloogiline areng ja üleilmastumine tekitavad isikuandmete kaitsel uusi probleeme. Andmete jagamise ja kogumise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab nii era- kui ka avaliku sektori asutustel kasutada isikuandmeid oma eesmärkide saavutamiseks enneolematus ulatuses. Üksikisikud avaldavad isikuandmeid üha avalikumalt ja ülemaailmsemalt. Tehnoloogia on põhjalikult muutnud nii majandust kui ka ühiskondlikku elu ja nõuab ELi-sisese andmete liikumise ning nende kolmandatesse riikidesse ja rahvusvahelisele organisatsioonile edastamise täiendavat hõlbustamist, tagades samas isikuandmete kõrgetasemelise kaitse.

(6)

Need muudatused nõuavad ELis tugeva ja ühtsema isikuandmete kaitse raamistiku loomist ning selle täitmise tagamist, et suurendada usaldust, mis võimaldab digitaalsel majandusel areneda terve siseturu lõikes. Üksikisikutel peaks olema kontroll oma isikuandmete üle ning tugevdada tuleks õigus- ja tegelikku kindlust üksikisikute, ettevõtjate ja avaliku sektori asutuste seisukohast.

(7)

Direktiivi 95/46/EÜ eesmärgid ja põhimõtted on endiselt ajakohased, kuid see ei ole ära hoidnud ELis andmetekaitse rakendusviiside killustumist, õiguskindlusetust ega avalikkuses laialtlevinud seisukohta, et eelkõige internetiga seonduvad märkimisväärsed ohud üksikisikute kaitsele. Liikmesriikide poolt tagatavate üksikisikute õiguste, eelkõige isikuandmete kaitse õiguse, ja vabaduste kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete ELi-sisest vaba liikumist. Need erinevused võivad seetõttu takistada ELi tasandi majandustegevust, moonutada konkurentsi ja takistada ametiasutustel täita nende ELi õigusest tulenevaid kohustusi. Erinevused kaitse tasemes tulenevad erisustest direktiivi 95/46/EÜ rakendamisel ja kohaldamisel.

(8)

Et tagada üksikisikute järjekindel ja kõrgetasemeline kaitse ning takistuste kõrvaldamiseks isikuandmete liikumisel peaks üksikisikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine terves ELis.

(9)

Tõhusaks isikuandmete kaitseks terves ELis tuleks tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja selle üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel ning rikkujatele määratavaid karistusi liikmesriikides.

(10)

ELi toimimise lepingu artikli 16 lõikega 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama eeskirju üksikisikute kaitse kohta seoses isikuandmete töötlemisega, samuti selliste andmete vaba liikumise eeskirju.

(11)

Et tagada üksikisikute järjekindel kaitse terves ELis ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on tarvis määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtete, sealhulgas mikro-, väike- ja keskmise suurusega ettevõtete jaoks ning milles sätestatakse kõigi liikmesriikide üksikisikute samaväärsed kohtulikult kaitstavad õigused ja kohustused ning vastutavate töötlejate ja volitatud töötlejate vastutus, et tagada pidev isikuandmete töötlemise jälgimine nagu ka samad karistused kõigis liikmesriikides ning liikmesriikide järelevalveasutuste tõhus koostöö. Käesolevas määruses on ette nähtud mitu erandit, et võtta arvesse mikro-, väike- ja keskmise suurusega ettevõtete erilist olukorda. Lisaks kutsutakse ELi institutsioone ja asutusi, liikmesriike ja nende järelevalveasutusi üles võtma käesoleva määruse rakendamisel arvesse mikro-, väike- ja keskmise suurusega ettevõtete erivajadusi. Mikro-, väike- ja keskmise suurusega ettevõtete määratlus peaks tuginema komisjoni soovitusele 2003/361/EÜ (5).

(12)

Käesoleva määrusega pakutav kaitse laieneb füüsiliste isikute isikuandmete töötlemisele, olenemata asjaomase isiku kodakondsusest või elukohast. Ühelgi isikul ei ole võimalik nõuda käesoleva määrusega ettenähtavat kaitset seoses selliste andmete töötlemisega, mis käsitlevad juriidilisi isikuid, eelkõige juriidiliste isikutena asutatud ettevõtjaid, sealhulgas juriidilise isiku nime ja vormi ning kontaktandmetega. Seda kohaldatakse ka juhul, kui juriidilise isiku nimi sisaldab ühe või mitme füüsilise isiku nime.

(13)

Üksikisikute kaitse peaks olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud vahenditest, vastasel juhul tekib märkimisväärne oht, et eeskirjade täitmisest hoitakse kõrvale. Kui andmed sisalduvad toimikusüsteemis või kui nad hiljem kantakse toimikusüsteemi, peab üksikisikute kaitse kehtima nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva määruse reguleerimisalasse ei kuulu toimikud või toimikute kogumid ega nende esilehed, mis ei ole teatavate kriteeriumide kohaselt korrastatud.

(14)

Käesolevas määruses ei käsitleta põhiõiguste ja -vabaduste kaitset ega andmete vaba liikumist väljapoole ELi õiguse reguleerimisala jäävate meetmete puhul ega isikuandmete töötlemist ELi institutsioonide, asutuste ja ametite poolt, mille kohta kehtib Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 45/2001  (6) , ega isikuandmete töötlemist liikmesriikide poolt ELi ühise välis- ja julgeolekupoliitikaga seonduvate meetmete puhul tuleks viia kooskõlla käesoleva määrusega ning seda tuleks kohaldada käesoleva määruse kohaselt . [ME 1]

(15)

Käesolevat määrust ei tuleks kohaldata isikuandmete töötlemise suhtes füüsilise isiku poolt üksnes isiklikel , perekonnaga seotud või kodustel eesmärkidel, näiteks kirjavahetus ja aadresside loetelu või eraisikute vaheline müük ning ilma tulutoova eesmärgita ning väljaspool ametialast ja äritegevust. Erandit ei Käesolevat määrust tuleks siiski kohaldada vastutavate töötlejate ega ja volitatud töötlejate suhtes, kes pakuvad isikuandmete isiklikel või kodustel eesmärkidel töötlemise vahendeid. [ME 2]

(16)

Üksikisikute kaitset isikuandmete töötlemisel pädevate asutuste poolt seoses kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega ning kriminaalkaristuste täitmisele pööramisega ning selliste andmete vaba liikumist käsitletakse eraldiseisvas ELi tasandi õigusaktis. Seetõttu ei tuleks käesolevat määrust kohaldada nimetatud eesmärkidel teostatavate töötlemistoimingute suhtes. Avaliku sektori asutuste poolt käesoleva määruse alusel töödeldavaid andmeid, kui neid kasutatakse seoses kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega ning kriminaalkaristuste täitmisele pööramisega, reguleeritakse konkreetsema ELi tasandi õigusaktiga (Euroopa Parlamendi ja nõukogu direktiiv 2014/…/EL üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta).

(17)

Käesolevat määrust tuleks kohaldada, ilma et see piiraks Euroopa Parlamendi ja nõukogu direktiivi 2000/31/EÜ (7), eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate eeskirjade kohaldamist.

(18)

Käesoleva määruse sätete kohaldamisel on võimalik arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet. Avaliku sektori asutuse või organi valduses olevates dokumentides sisalduvaid isikuandmeid võib see asutus või organ avaldada kooskõlas ametlike dokumentide üldist kättesaadavust käsitlevate liikmesriigi õigusaktidega, mis ühitab õigust andmekaitsele ametlike dokumentide üldise kättesaadavuse õigusega ja milles esineb asjaomaste eri huvide õiglane tasakaal. [ME 3]

(19)

ELis vastutava töötleja või volitatud töötleja asutuse tegevuse raames tuleks töödelda isikuandmeid vastavalt käesolevale määrusele, sõltumata sellest, kas töötlemine toimub ELis. Asutus eeldab tegelikku ja tulemuslikku tegutsemist ning stabiilset asukohta. Tegevuse õiguslik vorm (kas filiaali või juriidilise isiku tütarettevõtja kaudu) ei ole selles osas määrav.

(20)

Selleks et tagada üksikisikutele kaitse, millele neil on õigus käesoleva määruse alusel, tuleks käesolevat määrust kohaldada väljaspool ELi asuva vastutava töötleja poolt ELis asuvate andmesubjektide isikuandmete töötlemise suhtes, kui töötlemistoimingud on seotud kaupade või teenuste tasust sõltumatu pakkumisega kõnealustele andmesubjektidele või nende käitumise jälgimisega. Selleks et määrata kindlaks, kas vastutav töötleja pakub sellistele liidu andmesubjektidele kaupu või teenuseid, tuleks kontrollida, kas on ilmne, et vastutav töötleja kavatseb pakkuda teenuseid ühe või mitme liidu liikmesriigi andmesubjektidele. [ME 4]

(21)

Selleks et teha kindlaks, kas töötlemistoimingut võib pidada andmesubjekti „käitumise jälgimiseks“, tuleb selgitada välja, kas üksikisikut jälgitakse internetis andmetöötlusmeetoditega, olenemata andmete päritolust, või kui nende kohta kogutakse muid andmeid, sealhulgas liidu avalikest registritest ja teadaannetest, mis on kättesaadavad liidust väljaspool, sealhulgas kavatsusega kasutada või võimaliku kavatsusega kasutada edaspidi andmetöötlusmeetodeid, mis hõlmavad üksikisiku profileerimist eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid. [ME 5]

(22)

Kui liikmesriigi õigust kohaldatakse rahvusvahelise avaliku õigusena, tuleks käesolevat määrust kohaldada ka väljaspool ELi asuva vastutava töötleja suhtes, näiteks liikmesriigi diplomaatilise või konsulaaresinduse puhul.

(23)

Kaitsepõhimõtteid Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut käsitleva igasuguse teabe suhtes. Isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib üksikisiku otseseks või kaudseks tuvastamiseks või eristamiseks tõenäoliselt kasutada. Selleks et teha kindlaks, kas üksikisiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvesse võtta kõik objektiivsed tegurid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogia arengut. Isikuandmete kaitse põhimõtteid ei tuleks seega kohaldada teabe anonüümsete andmete suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti selline teave, mis ei ole enam võimalik tuvastada seotud tuvastatud või tuvastatava füüsilise isikuga . Käesolev määrus ei käsitle seega niisuguste anonüümsete andmete töötlemist, sealhulgas statistikauurimuste ja teadustöö eesmärkidel. [ME 6]

(24)

Sidusteenuste kasutamisel võib üksikisikut seostada tema Käesolevat määrust tuleks kohaldada töötlemise suhtes, mis hõlmab seadmete, rakenduste, tööriistade ja protokollide jagatavate veebiidentifikaatoritega, näiteks IP-aadresside või küpsistega. See võib jätta jälgi, mida kombineeritult serveritesse saabuvate kordumatute identifikaatoritega ja muu teabega võidakse kasutada üksikisikute profileerimiseks ja nende tuvastamiseks. Sellest järeldub, et identifitseerimisnumbreid, asukohaandmeid, veebiidentifikaatoreid ja muid konkreetseid tegureid ei ole iseenesest tingimata vaja pidada isikuandmeteks , küpsiste ja raadiosagedustuvastuse kiipidega, välja arvatud juhul, kui need identifikaatorid ei ole seotud tuvastatud või tuvastatava füüsilise isikuga . [ME 7]

(25)

Nõusolek tuleb anda selgesõnaliselt ükskõik millisel sobival viisil, mis võimaldab andmesubjektil väljendada vaba, konkreetset ja teadlikku tahet andmesubjekti avalduse või tema valikul selgelt nõusolekut väljendava tegevuse kaudu, millega tagatakse, et üksikisik on teadlik sellest, et ta annab oma nõusoleku isikuandmete töötlemiseks, sealhulgas märgistades . Nõusolekut väljendav tegevus võib hõlmata veebisaidil vajaliku lahtri märgistamist või mis tahes muu avalduse või käitumise kaudu muud avaldust või käitumist , millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek nende isikuandmete kavandatavaks töötlemiseks. Vaikimist , lihtsalt teenuse kasutamist või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel teostatavaid töötlemistoimingud. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik, kuid mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse. [ME 8]

(26)

Terviseandmete hulka kuuluvad eelkõige kõik andmesubjekti tervislikku seisundit käsitlevad andmed; teave üksikisiku registreerimise kohta temale tervishoiuteenuste osutamise eesmärgil; üksikisikuga seonduv teave tervishoiuteenuse eest tasumise või tema õiguse kohta saada tervishoiuteenuseid; number, tähis või eritunnus, mis on üksikisikule määratud tema tuvastamiseks tervishoiuga seotud eesmärkidel; mis tahes teave üksikisiku kohta, mida on kogutud temale tervishoiuteenuste osutamise käigus; teave, mida on saadud mingi kehaosa või kehast pärineva aine, sealhulgas bioloogiliste proovide, kontrollimise või uurimise tulemusena; teave selle isiku kohta, kes on üksikisikule tervishoiuteenust osutanud; ning igasugune teave näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi ja andmesubjekti tegeliku füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata selle allikast (näiteks arst või muu tervishoiutöötaja, haigla, meditsiiniseade või in vitro diagnostika).

(27)

ELis asuva vastutava töötleja peamine tegevuskoht tuleks kindlaks määrata objektiivsete kriteeriumide alusel ning see peaks eeldama tegelikku ja tulemuslikku juhtimistegevust töötlemise eesmärke ja vahendeid käsitlevate peamiste otsuste vastuvõtmisel ning stabiilset asukohta. See kriteerium ei tohiks sõltuda sellest, kas isikuandmete töötlemine toimub tegelikult kõnealuses kohas, kuna isikuandmete töötlemise või töötlemistoimingute teostamise tehniliste vahendite ja tehnoloogia olemasolu ja kasutamine iseendast ei kujuta endast sellist peamist tegevuskohta, seega ei ole need peamise tegevuskoha määravad kriteeriumid. Volitatud töötleja peamine tegevuskoht on koht, kus asub tema ELi juhtkond.

(28)

Kontsern peaks hõlmama kontrollivat ettevõtjat ja tema kontrolli all olevaid ettevõtjaid, kusjuures kontrolliv ettevõtja peaks saama kasutada teiste ettevõtjate üle valitsevat mõju näiteks omanikuna, rahalise osaluse kaudu, põhikirja alusel või volituse kaudu rakendada isikuandmete kaitse eeskirju.

(29)

Laste isikuandmed vajavad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud ohtudest, tagajärgedest, kaitsemeetmetest ja oma isikuandmete töötlemisega seonduvatest õigustest. Selleks et määrata kindlaks, kas üksikisik on laps, tuleks käesolevas määruses üle võtta ÜRO lapse õiguste konventsioonis esitatud määratlus. Kui andmete töötlemine põhineb andmesubjekti nõusolekul seoses kaupade või teenuste pakkumisega otse lapsele, peab kuni 13aastase lapse puhul nõusoleku või loa andma lapse vanem või eestkostja. Kui sihtrühmaks on lapsed, peaks keelekasutus olema neile eakohane. Kohaldada peaks saama sellised seadusliku töötlemise muid alused nagu avalik huvi, näiteks töötlemise puhul, mis toimub seoses lapsele otse pakutavate ennetavate või nõustamisteenustega. [ME 9]

(30)

Isikuandmete igasugune töötlemine peaks olema seaduslik, andmesubjektide suhtes õiglane ja läbipaistev. Eelkõige peaksid olema selged ja õiguspärased andmete töötlemise konkreetsed eesmärgid, mis tuleb kindlaks määrata andmete kogumise ajal. Andmed peaksid olema asjakohased, piisavad ja piirduma töötlemise otstarbe seisukohalt minimaalselt vajalikuga; mistõttu tuleb eelkõige tagada, et andmete kogumine ja nende säilitamise aeg piirduks minimaalsega. Isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki ei ole võimalik saavutada muude vahendite abil. Tagamaks, et ebatäpsed andmed kustutatakse või parandatakse, tuleks võtta kõik mõistlikud meetmed. Selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peab vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või perioodiliseks läbivaatamiseks.

(31)

Töötlemise seaduslikkuse tagamiseks tuleks isikuandmeid töödelda asjaomase isiku nõusolekul või muul seaduses, käesolevas määruses või muus käesolevas määruses osutatud ELi või liikmesriigi õiguses ettenähtud õiguslikul alusel. Õigus- ja teovõimeta lapse või isiku nõusoleku andmise või temalt loa saamise tingimused tuleks kindlaks määrata asjakohaste liidu või liikmesriigi õigusaktidega. [ME 10]

(32)

Kui töötlemine toimub andmesubjekti nõusolekul, peaks vastutaval töötlejal lasuma tõendamiskohustus, et andmesubjekt on töötlemistoimingu heaks kiitnud. Eelkõige muid küsimusi käsitleva kirjaliku avalduse puhul tuleks kaitsemeetmetega tagada, et andmesubjekt on teadlik nõusoleku andmisest ja nõusoleku andmise ulatusest. Kooskõla tagamiseks minimaalse andmehulga põhimõttega ei tohiks tõendamiskohustust mõista kui andmesubjektide isikusamasuse tuvastamise kohustust, välja arvatud juhul, kui see on vajalik. Sarnaselt tsiviilõiguse tingimustega (nt nõukogu direktiiv 93/13/EMÜ  (8) ) peaksid andmekaitse põhimõtted olema võimalikult selged ja läbipaistvad. Need ei tohiks hõlmata varjatud ega kahjulikke klausleid. Nõusolekut ei saa anda kolmandate isikute andmete töötlemiseks. [ME 11]

(33)

Vabatahtliku nõusoleku tagamiseks tuleks täpsustada, et nõusolek ei kujuta endast kehtivat õiguslikku alust siis, kui üksikisikul puudub tegelik ja vaba valik ja ta ei saa seetõttu ilma negatiivsete tagajärgedeta nõusoleku andmisest keelduda või nõusolekut tagasi võtta. Eriti oluline on see juhul, kui vastutav töötleja on avaliku sektori asutus, kes saab kehtestada kohustuse oma asjakohastest avaliku võimu teostamise volitustest tulenevalt ja nõusolekut ei saa lugeda vabalt antuks. Väikevalikute kasutamine, nagu ettemärgitud kastikeste kasutamine, kus andmesubjekt peab töötlemisest keeldumiseks valikuid muutma, ei väljenda vaba nõusolekut. Teenuse kasutamiseks ei tohi nõuda nõusolekut täiendavate isikuandmete töötlemiseks, mis ei ole teenuse osutamiseks vajalikud. Nõusoleku tühistamine võimaldab andmetest sõltuv teenus lõpetada või see osutamata jätta. Kui üldine kavandatud eesmärk ei ole selge, peaks vastutav töötleja pakkuma andmesubjektile korrapäraselt teavet töötlemise kohta ja taotlema tema nõusoleku taaskinnitamist. [ME 12]

(34)

Nõusolek ei tohiks anda isikuandmete töötlemiseks kehtivat õiguslikku alust, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras. Nii on see eriti juhul, kui andmesubjekt sõltub vastutavast töötlejast, muu hulgas juhul, kui tööandja töötleb töövõtjate isikuandmeid töösuhte kontekstis. Juhul kui vastutav töötleja on avaliku sektori asutus, puudub tasakaal ainult selliste konkreetsete andmetöötlustoimingute puhul, mille juures avalik-õiguslik asutus saab kehtestada kohustuse oma asjakohastest avaliku võimu teostamise volitustest tulenevalt ja nõusolekut ei saa lugeda vabalt antuks, võttes arvesse andmesubjekti huve. [ME 13]

(35)

Töötlemine peaks olema seaduslik juhul, kui see on vajalik seoses lepinguga või kavandatavaks lepingu sõlmimiseks.

(36)

Kui töötlemine toimub vastavalt vastutava töötleja seadusjärgsele kohustusele või kui töötlemine on vajalik avalikes huvides täidetava ülesande täitmiseks või ametliku võimu kasutamiseks, peaks töötlemise õiguslik alus olema sätestatud ELi õiguses või liikmesriigi õiguses, mis vastab harta nõuetele õiguste ja vabaduste mistahes piiramise osas. See peaks samuti hõlmama kollektiivlepinguid , mida võidakse riigisisese õigusega tunnistada üldkehtivaks. See , kas avaliku huviga seotud ülesannet täitev või avalikku võimu teostav vastutav töötleja peaks olema riigiasutus või muu avalik-õiguslik või füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata ELi või liikmesriikide õiguses. [ME 14]

(37)

Isikuandmete töötlemist tuleks pidada samaväärselt seaduslikuks ka siis, kui see on vajalik andmesubjekti eluliste huvide kaitsmiseks.

(38)

Töötlemise õiguslikuks aluseks võib olla vastutava või avaldamise korral selle kolmanda isiku, kellele andmed avaldatakse, töötleja õigustatud huvi tingimusel, et nad vastavad andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga, ja et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad. See vajab hoolikat hindamist eelkõige juhul, kui andmesubjekt on laps, kuna lapsed vajavad erilist kaitset. Tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, tuleks eeldada, et varjunimega tähistatud andmetega piirduv töötlemine vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga. Andmesubjektil peaks olema õigus tasuta töötlemine vaidlustada tema konkreetse olukorraga seonduvatel põhjustel ja tasuta. Läbipaistvuse tagamiseks peaks vastutav töötleja olema kohustatud andmesubjekti selgesõnaliselt teavitama oma õigustatud huvist asjaomase isiku vastu ja vaidlustamisõigusest ning samuti olema kohustatud need õigustatud huvid dokumenteerima. Andmesubjekti huvid ja põhiõigused võivad olla vastutava töötleja huvidest tähtsamad eelkõige juhul, kui isikuandmeid töödeldakse olukorras, kus andmesubjektil ei ole mõistlik eeldada edasist töötlemist. Arvestades, et avaliku sektori asutuste jaoks peab andmete töötlemise õigusliku aluse õigusaktiga kehtestama seadusandja, ei tuleks nimetatud õiguslikku alust kohaldada avalik-õiguslike asutuste poolse, nende ülesannete täitmiseks teostatava töötlemise puhul. [ME 15]

(39)

Andmete töötlemine sellisel määral, mis on tingimata vajalik ja proportsionaalne võrgu- ja infoturbe – s.o võrgu- ja infosüsteemi võime kaitsta end teatava kindlusega õnnetuste või ebaseaduslike või pahatahtlike tegevuste eest, mis seavad ohtu salvestatud või edastatud andmete kättesaadavuse, autentsuse, terviklikkuse ja konfidentsiaalsuse ja nende võrkude ja süsteemide poolt pakutavate või nende kaudu juurdepääsetavate teenuste turvalisuse – tagamiseks avaliku sektori asutuste, infoturbeintsidentidega tegelevate rühmade – CERTide, arvutiturbe juhtumitele reageerimise rühmade – CSIRTide, elektroonilise side võrkude ja teenuste pakkujate ning turvatehnoloogiate ja -teenuste pakkujate poolt kujutab endast asjaomase vastutava töötleja õigustatud huvi. See võib näiteks sisaldada elektroonilise side võrkudele ebaseadusliku juurdepääsu ja pahatahtliku koodi levitamise takistamist, teenusetõkestamise rünnete ning arvutite ja elektroonilise side süsteemide kahjustamise peatamist. Seda põhimõtet kohaldatakse ka isikuandmete töötlemise suhtes, et piirata pahatahtlikku juurdepääsu üldkasutatavatele võrkudele ja infosüsteemidele ja nende pahatahtlikku kasutamist, näiteks elektrooniliste identifikaatorite musta nimekirja kandmine. [ME 16]

(39a)

Tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, tuleks eeldada, et kahjude ennetamine või piiramine vastutava töötleja või avaldamise puhul kolmanda isiku, kellele andmed avaldatakse, poolt vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga. Sama põhimõtet kohaldatakse samuti andmesubjekti vastu esitatud õigusnõuete, näiteks võlgade sissenõudmise või tsiviilkahju hüvitamise ja tsiviilõiguslike kaitsevahendite täitmise suhtes. [ME 17]

(39b)

Tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, tuleks eeldada, et isikuandmete töötlemine enda toodete või sarnaste toodete ja teenuste otseturunduseks või otseturunduseks posti teel toimub vastutava töötleja või avaldamise puhul kolmanda isiku, kellele andmed avaldatakse, õigustatud huvides, ja et see vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga, kui on esitatud väga hästi nähtav teave vaidlustamisõiguse ja isikuandmete allika kohta. Ettevõtte kontaktandmete töötlemise puhul tuleks üldiselt eeldada, et see toimub vastutava töötleja või avaldamise puhul kolmanda isiku, kellele andmed avaldatakse, õigustatud huvides, ja et see vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga. Sama põhimõtet tuleks kohaldada andmesubjekti poolt ilmselgelt avalikustatud isikuandmete töötlemise suhtes. [ME 18]

(40)

Isikuandmete töötlemine muul eesmärgil peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks andmed algselt koguti, eelkõige juhul, kui töötlemine on vajalik ajaloo- või statistikauurimuste ning teadustöö eesmärgil. Kui muu eesmärk ei ole kooskõlas eesmärgiga, mille jaoks andmed algselt koguti, peaks vastutav töötleja andmete nimetatud muul eesmärgil töötlemiseks saama andmesubjekti nõusoleku või valima töötlemiseks seadusliku töötlemise muu õigusliku aluse, eelkõige kui see on ette nähtud ELi või selle liikmesriigi õigusega, mille õigust vastutava töötleja suhtes kohaldatakse. Igal juhul tuleks tagada käesolevas määruses sätestatud põhimõtete kohaldamine ja eelkõige andmesubjekti teavitamine kõnealustest muudest eesmärkidest. [ME 19]

(41)

Oma loomult põhiõiguste ja eraelu puutumatuse seisukohast eriti tundlikud ja haavatavad isikuandmed vajavad erilist kaitset. Neid andmeid ei tohiks töödelda, välja arvatud juhul, kui andmesubjekt annab oma selgesõnalise nõusoleku. Erivajaduste puhul tuleks aga selgesõnaliselt sätestada käesolevast keelust tehtavad erandid, eelkõige juhul, kui töötlemine toimub teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist. [ME 20]

(42)

Tundlike andmeliikide töötlemise keelust peaks olema lubatud kõrvale kalduda ka seaduse alusel ja rakendades asjakohaseid kaitsemeetmeid, et kaitsta isikuandmeid ja muid põhiõigusi, kui seda õigustab avalik huvi, eelkõige tervishoiu, sealhulgas rahvatervise, sotsiaalkaitse ja tervishoiuteenuste korraldamise valdkonnas eelkõige selleks, et tagada hüvitisenõuete rahuldamise kord ja teenuste kvaliteet ning tasuvus tervisekindlustuse puhul, või ajaloo- või ja statistikauurimuste ning teadustöö eesmärgil või arhiveerimise puhul . [ME 21]

(43)

Lisaks sellele töötlevad ametiasutused isikuandmeid avalike huvidega seotud eesmärgil ametlikult tunnustatud religioossete ühenduste konstitutsiooniõiguses või rahvusvahelises avalikus õiguses sätestatud eesmärkide saavutamiseks.

(44)

Kui valimisprotsessi käigus eeldab liikmesriigi demokraatlik süsteem, et poliitilised parteid koguvad andmeid inimeste poliitiliste veendumuste kohta, võib selliste andmete töötlemine olla lubatud avalike huvidega seotud põhjustel ja tingimusel, et rakendatakse vajalikke kaitsemeetmeid.

(45)

Juhul kui vastutav töötleja töötleb selliseid andmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima lisateavet ainult käesoleva määruse järgimiseks. Juurdepääsutaotluse korral on vastutaval töötlejal õigus küsida andmesubjektilt lisateavet, mis võimaldaks vastutaval töötlejal leida isikuandmed, mida see isik otsib. Kui andmesubjektil on võimalik selliseid andmeid anda, ei tohiks vastutavatel töötlejatel olla võimalik õigustada teabe puudumisega juurdepääsutaotlusest keeldumist. [ME 22]

(46)

Läbipaistvuspõhimõte nõuab, et üldsusele ja andmesubjektile suunatud teave peaks olema lihtsalt kättesaadav, arusaadav ning selgelt ja lihtsalt sõnastatud. Eriti asjakohane on see sellistes olukordades nagu näiteks veebireklaam, mille puhul osapoolte arvukuse ja tehnoloogilise keerukuse tõttu on andmesubjektil keeruline teada saada ja mõista, kas kogutakse nende isikuandmeid, kes neid kogub ja millisel eesmärgil. Arvestades, et lapsed vajavad erilist kaitset, peaks laste isikuandmete töötlemisel kogu teave olema ja suhtlemine toimuma selges ja lihtsas keeles, mida laps kergesti mõistab.

(47)

Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil tasuta taotleda saada eelkõige juurdepääsu andmetele, õigust andmeid parandada ja kustutada ning kasutada vaidlustamisõigust. Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele kindlaksmääratud mõistliku tähtaja jooksul ning vastamisest keeldumise korral seda põhjendama. [ME 23]

(48)

Õiglase ja läbipaistva töötlemise põhimõte nõuab, et andmesubjekti tuleks teavitada eelkõige töötlemistoimingu tegemisest ja selle eesmärkidest ning tõenäolisest andmete igal otstarbel säilitamise tähtajast, nendega kui andmed edastatakse kolmandatele isikutele või kolmandatele riikidele, vaidlustamismeetmete olemasolust, andmetega tutvumise, nende muutmise ja kustutamise nõudmise ning kaebuse esitamise õigusest. Kui andmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud andmeid esitama, ja andmete esitamata jätmise tagajärgedest. Seda teavet tuleks andmesubjektile anda – mis võib ka tähendada, et see tehakse hõlpsasti kättesaadavaks – pärast lihtsustatud teabe esitamist standardsete ikoonide kujul. Samuti võib see tähendada, et isikuandmeid töödeldakse viisil, mis võimaldab andmesubjektil oma õigusi tõhusalt kasutada. [ME 24]

(49)

Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle asjaoludest olenevalt kas kogumise ajal või mõistliku ajavahemiku jooksul, juhul kui andmeid ei koguta andmesubjektilt. Kui andmeid võib õiguspäraselt avaldada muule isikule, teavitatakse andmesubjekti sellest andmete esmakordsel avaldamisel.

(50)

Sellist kohustust ei pea siiski kehtestama juhul, kui andmesubjektil andmesubjekt on see teave sellest teabest juba olemas teadlik või juhul, kui andmete kogumine või avaldamine on õigusnormides selgelt sätestatud või kui andmesubjekti teavitamine osutub võimatuks või nõuaks ebaproportsionaalselt suuri jõupingutusi. Viimati nimetatu võib osutuda eriti asjakohaseks juhul, kui töötlemine toimub ajaloo- või statistikauurimuste ning teadustöö eesmärgil; sellisel juhul võib arvesse võtta andmesubjektide arvu, andmete vanust ja kõiki vastuvõetud kompenseerivaid meetmeid. [ME 25]

(51)

Selleks, et töötlemisest teada ja kontrollida selle seaduslikkust, peaks igaühel olema õigus tutvuda andmetega, mis on tema kohta kogutud, ja õigus selle õiguse lihtsale kasutamisele. Igal andmesubjektil peaks seega olema õigus teada eelkõige andmete töötlemise eesmärke, hinnangulist ajavahemikku, andmete saajaid, töödeldavate andmete üldist loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt profiilianalüüsi korral) ning saada eelneva kohta teavet. See õigus ei tohiks kahjustada teiste isikute õigusi ja vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning , nagu seoses eelkõige tarkvara kaitsvat autoriõigust kaitsva autoriõigusega . Sellise kaalutlemise tulemus ei tohiks aga olla see, et andmesubjektile ei anta üldse teavet. [ME 26]

(52)

Vastutav töötleja peaks kasutama juurdepääsu taotleva andmesubjekti isiku tuvastamiseks kõiki mõistlikke meetmeid, seda eelkõige sidusteenuste ja veebiidentifikaatorite korral. Vastutav töötleja ei tohiks isikuandmeid säilitada üksnes selleks, et suuta reageerida võimalikele päringutele.

(53)

Igal isikul peaks olema õigus teda käsitlevate isikuandmete parandamisele ja õigus olla unustatud andmete kustutamisele juhul, kui selliste andmete säilitamine ei ole kooskõlas käesoleva määrusega. Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele eelkõige siis, kui andmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on loobunud oma töötlemisele antud nõusolekust või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele. Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada. Andmete jätkuv säilitamine peaks olema lubatud aga juhul, kui see on vajalik ajaloo- või statistikauurimuste ning teadustöö eesmärgil, rahvatervise valdkonna avalikes huvides, seadusega tagatud väljendusvabaduse õiguse kasutamiseks või kui esineb andmete töötlemise piiramise, mitte nende kustutamise põhjus. Lisaks ei tuleks andmete kustutamise õigust kohaldada, kui isikuandmete säilitamine on vajalik andmesubjektiga sõlmitud lepingu täitmiseks või kui kehtib seadusjärgne kohustus andmed säilitada. [ME 27]

(54)

Selleks et tugevdada võrgukeskkonnas õigust olla unustatud andmete kustutamisele , tuleks laiendada õigust andmete kustutamisele selliselt, et isikuandmed avaldanud vastutav töötleja on kohustatud teavitama andmeid töötlevaid kolmandaid isikuid andmesubjekti taotlusest kustutada mis tahes lingid nimetatud isikuandmetele ja andmekoopiad ja -kordused. Teavitamise tagamiseks peaks vastutav töötleja võtma tegema kõik mõistlikud meetmed, vajaliku , et andmed saaks kustutatud, sealhulgas tehnilised meetmed, mis on seotud andmetega, mille avaldamise eest vastutav töötleja vastutab. Kui isikuandmed avaldab kolmas isik, peaks avaldamise eest vastutama kolmandale isikule avaldamise loa andnud vastutav töötleja kolmandate isikute poolt, kuid ilma et see piiraks andmesubjekti õigust nõuda hüvitist . [ME 28]

(54a)

Andmed, mida andmesubjekt seab kahtluse alla ning mille täpsust või ebatäpsust ei saa kindlaks teha, tuleks blokeerida kuni küsimuse lahendamiseni. [ME 29]

(55)

Selleks et tugevdada kontrolli oma andmete ja nendega tutvumise õiguse üle, peaks andmesubjektidel olema struktureeritud ja üldkasutatavas vormingus olevate isikuandmete elektroonilise töötlemise puhul õigus saada neid käsitlevate andmete koopia samuti üldkasutatavas elektroonilises vormingus. Andmesubjektil peaks olema võimalik edastada enda esitatud andmeid ühest automatiseeritud rakendusest (näiteks sotsiaalvõrgustikust) teise. Vastutavaid töötlejaid peaks julgustama arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. Seda tuleks kohaldada juhul, kui andmesubjekt esitas andmed automatiseeritud töötlemissüsteemi nõusoleku alusel või lepingu täitmisel. Infoühiskonna teenuste osutajad ei tohiks muuta oma teenuste osutamisel kohustuslikuks nende andmete edastamist. [ME 30]

(56)

Juhul kui isikuandmeid võib seaduslikult töödelda andmesubjekti eluliste huvide kaitsmiseks, ametiasutuse avalikes huvides või vastutava töötleja õiguspärastes huvides, on igal andmesubjektil ikkagi õigus teda käsitlevate andmete töötlemine tasuta, lihtsalt ja tulemuslikult vaidlustada. Tõendamiskohustus peaks lasuma vastutaval töötlejal, kes peaks tõendama, et tema õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused. [ME 31]

(57)

Kui isikuandmeid töödeldakse otseturunduse eesmärgil andmesubjektil on õigus töötlemine vaidlustada , peaks olema andmesubjektil õigus selline töötlemine tasuta, lihtsalt ja tulemuslikult vaidlustada vastutav töötleja seda andmesubjektile sõnaselgelt pakkuma arusaadaval viisil ja arusaadavas vormis, kasutades selget ja lihtsat keelt ning muust teabest selgelt eristatuna . [ME 32]

(58)

Igal füüsilisel isikul peaks olema õigus sellele profiilianalüüs vaidlustada , ilma et tema suhtes ei kohaldata automatiseeritud töötlemise teel tehtaval profiilianalüüsil põhinevat meedet see piiraks andmetöötluse õiguspärasust . Selline meede profiilianalüüs, mis viib andmesubjekti puudutavaid õiguslikke tagajärgi põhjustavate meetmeteni või mõjutab oluliselt asjaomase andmesubjekti huvisid, õigusi või vabadusi, peaks olema lubatud aga ainult siis, kui see on selgesõnaliselt lubatud seadusega, seda kasutatakse lepingu sõlmimisel või täitmisel või siis, kui andmesubjekt on selleks andnud oma nõusoleku. Igal juhul tuleks sellise töötlemise korral kohaldada sobivaid kaitsemeetmeid, kaasa arvatud andmesubjektile antavat konkreetset teavet, õigust otsesele isiklikule kontaktile ning seda, et sellist meedet ei tohiks kohaldata lapse puhul. Sellised meetmed ei tohi põhjustada üksikisikute diskrimineerimist rassi, etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, seksuaalse sättumuse või soolise identiteedi tõttu. [ME 33]

(58a)

Üksnes varjunimega tähistatud andmete töötlemisel põhineva profiilianalüüsi puhul ei tuleks eeldada, et see mõjutab oluliselt andmesubjekti huve, õigusi või vabadusi. Kui profiilianalüüs, mis põhineb kas ühest allikast pärit varjunimega tähistatud andmetel või eri allikatest pärit varjunimega tähistatud andmete koondamisel, võimaldab vastutaval töötlejal viia varjunimega tähistatud andmed kokku konkreetse andmesubjektiga, ei tuleks töödeldud andmeid enam käsitada varjunimega tähistatud andmetena. [ME 34]

(59)

Konkreetsete põhimõtete, õiguste saada seoses isikuandmetega teavet, nendega andmetega tutvuda, neid parandada ja kustutada, õiguse andmetega tutvumisele ja andmete ülekantavusele saamisele , vaidlustamisõiguse, profiilianalüüsil põhinevate meetmete profiilianalüüsi , andmesubjekti isikuandmetega seotud rikkumisest teavitamise ning vastutavate töötlejate teatavate seonduvate kohustuste piirangud võib kehtestada ELi või liikmesriikide õigusaktidega, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada avalik julgeolek, sealhulgas inimelude kaitsmine eelkõige loodus- ja inimtegevusest tingitud õnnetuste korral, kuritegude ja reguleeritud kutsealade ametieetika rikkumise tõkestamine, uurimine ja nende eest vastutusele võtmine, ELi või liikmesriigi muu konkreetne ja selgelt määratletud avalik huvi, eelkõige ELi või liikmesriigi oluline majandus- või finantshuvi, andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse. Nimetatud piirangud peaksid vastama hartas ning inimõiguste ja põhivabaduste kaitse Euroopa konventsioonis sätestatud nõuetele. [ME 35]

(60)

Tuleks kehtestada vastutava töötleja laialdane vastutus temapoolse ja tema nimel toimuva isikuandmete mis tahes töötlemise eest , eelkõige seoses dokumentidega, andmete turvalisusega, mõjuhinnangutega, andmekaitseametnikuga ning andmekaitseasutuste järelevalvega . Eelkõige peaks vastutav töötleja tagama iga töötlemistoimingu kooskõla käesoleva määrusega, samuti on ta kohustatud peaks ta suutma seda kooskõla tõendama tõendada . Seda peaksid kontrollima sõltumatud sise- või välisaudiitorid . [ME 36]

(61)

Andmesubjektide õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab vajalike tehniliste ja korralduslike meetmete võtmist nii töötlemise kavandamise kui ka töötlemise ajal, et tagada käesoleva määruse nõuete täitmine. Käesoleva määruse täitmise tagamiseks ja selle tõendamiseks peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama asjakohaseid meetmeid, mis vastavad eelkõige isikuandmete lõimitud ja vaikimisi kaitse põhimõtetele. Isikuandmete lõimitud kaitse põhimõte eeldab andmekaitse integreerimist tehnoloogia kogu olelusringi, algsest projekteerimisest selle kasutuselevõtu, kasutamise ja lõpliku kõrvaldamiseni. See peaks samuti hõlmama vastutust vastutava või volitatud töötleja kasutatavate toodete ja teenuste eest. Isikuandmete vaikimisi kaitse põhimõte nõuab seda, et toodete ja teenuste eraelukaitse seaded vastaksid vaikimisi sellistele andmekaitse üldpõhimõtetele nagu minimaalne andmehulk ja eesmärgi piiritlemine. [ME 37]

(62)

Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas järelevalveasutuste teostatava kontrolli ja võetavate meetmete korral nõuab vastutusvaldkondade selget jaotamist käesolevas määruses, seda ka juhul kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui töötlemistoimingut teostatakse vastutava töötleja nimel. Kaasvastutavate töötlejate vaheline kord peaks kajastama kaasvastutavate töötlejate tegelikke rolle ja suhteid. Käesoleva määruse kohane isikuandmete töötlemine peaks hõlmama vastutavale töötlejale loa andmist andmete edastamiseks kaasvastutavale töötlejale või volitatud töötlejale andmete töötlemiseks nende nimel. [ME 38]

(63)

Kui väljaspool ELi asuv vastutav töötleja töötleb ELis elavate ELi andmesubjektide isikuandmeid ja tema töötlemistoimingud on seotud kaupade või teenuste pakkumisega sellistele andmesubjektidele või nende käitumise jälgimisega, peaks vastutav töötleja nimetama esindaja, välja arvatud juhul, kui vastutav töötleja asub kolmandas riigis, mis tagab kaitse piisava taseme, vastutava või kui töötlemine on seotud vähem kui 5 000 andmesubjektiga mis tahes järjestikuse 12kuulise ajavahemiku jooksul ning seda ei teostata isikuandmete eriliikide puhul, või kui vastutav töötleja on väike- või keskmise suurusega ettevõte, avaliku sektori asutus või organ või kui vastutav töötleja pakub sellistele andmesubjektidele kaupu või teenuseid ainult juhuti. Esindaja peaks tegutsema vastutava töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused. [ME 39]

(64)

Selleks et määrata kindlaks, kas vastutav töötleja pakub ELis elavatele ELi andmesubjektidele kaupu ja teenuseid ainult juhuti, tuleks kontrollida, kas vastutava töötleja kogu tegevuse põhjal on ilmne, et sellistele andmesubjektidele kaupade ja teenuste pakkumine on tema kõrvaltegevus. [ME 40]

(65)

Selleks et oleks võimalik tõendada käesoleva määruse täitmise tõendamiseks täitmist, peaks vastutav töötleja või volitatud töötleja dokumenteerima iga töötlemistoimingu säilitama vajalikke dokumente, et täita käesoleva määrusega sätestatud nõudeid . Iga vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema nimetatud dokumendid taotluse korral kättesaadavaks, et neid saaks kasutada nimetatud töötlemistoimingute kontrollimiseks käesolevale määrusele vastavuse hindamiseks . Lisaks dokumentide koostamisele tuleks rõhutada ja tähtsustada ka häid tavasid ja nõuetele vastavust. . [ME 41]

(66)

Turvalisuse tagamiseks ja käesoleva määruse vastase töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohte ja rakendama meetmeid asjaomaste riskide leevendamiseks. Võttes arvesse tehnika taset ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Töötlemise turvalisuse tagamiseks tehniliste standardite ja korralduslike meetmete kehtestamisel peaks komisjon edendama tuleks edendada tehnoloogia neutraalsust, koostalitusvõimet ja innovatsiooni ning vajaduse korral tuleks ergutada koostööd kolmandate riikidega. [ME 42]

(67)

Isikuandmetega seotud rikkumisega võib asjaomasele üksikisikule kaasneda oluline majanduslik ja sotsiaalne kahju, sealhulgas identiteedipettus, kui sellega piisavalt ja õigeaegselt ei tegelda. Seetõttu niipea, kui peaks vastutav töötleja sellise rikkumise toimumisest teada saab, peaks ta teatama rikkumisest viivitamata järelevalveasutusele, tehes seda võimaluse korral 24 eeldatavasti hiljemalt 72 tunni jooksul. Kui 24 tunni jooksul teatamine ei ole võimalik, Asjakohasel juhul tuleks teatisele lisada selle hilinemise põhjused. Üksikisikut, kelle isikuandmeid rikkumine kahjustada võib, tuleks teavitada põhjendamatu viivituseta, et nad saaksid võtta vajalikke ettevaatusabinõusid. Rikkumist tuleks pidada andmesubjekti isikuandmeid ja eraelu puutumatust kahjustavaks juhul, kui selle tulemuseks võib olla identiteedivargus või pettus, füüsiline kahju, märkimisväärne alandamine või maine kahjustamine. Teatises tuleks kirjeldada isikuandmetega seotud rikkumise olemust ja anda asjaomasele üksikisikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teatis tuleks saata andmesubjektile nii kiiresti kui võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjakohaste asutuste (nt õiguskaitseasutuste) suunistest. Näiteks andmesubjekti võimalus vähendada kahju tekkimise otsest ohtu nõuab tema operatiivset teavitamist, samas kui võimalus rakendada asjakohaseid meetmeid isikuandmetega seonduvate jätkuvate või samalaadsete rikkumiste vastu võib õigustada pikemat tähtaega. [ME 43]

(68)

Selleks et määrata kindlaks, kas isikuandmetega seotud rikkumisest on teatatud järelevalveasutusele ja andmesubjektile asjatu viivituseta, tuleks kontrollida, kas vastutav töötleja on rakendanud ja kohaldanud asjakohaseid tehnoloogilise kaitse ja korralduslikke meetmeid, et viivitamata kindlaks teha, kas isikuandmetega seotud rikkumine on toimunud, ning teavitada sellest viivitamata järelevalveasutust ning andmesubjekti, enne kui kahjustatakse isiklikke ja majandushuve kaitsmisele, võttes arvesse eelkõige isikuandmetega seotud rikkumise laadi, tõsidust ja tagajärgi ning kahjulikku mõju andmesubjektile.

(69)

Isikuandmetega seotud rikkumisest teatamise vormide ja korra kohta üksikasjalike eeskirjade koostamisel tuleks võtta arvesse ka rikkumise asjaolusid, sealhulgas seda, kas isikuandmed olid kodeeritud või mõnel muul sellisel moel kaitstud asjakohaste tehniliste kaitsemeetmetega, mis vähendab tõhusalt identiteedipettuse või muu väärkasutuse tõenäosust. Lisaks tuleks sellistes eeskirjades ja korras arvesse võtta õiguskaitseasutuste õigustatud huve juhtudel, kui varajane avalikustamine võib tarbetult takistada rikkumise asjaolude uurimist.

(70)

Direktiivis 95/46/EÜ nähti ette üldine kohustus teatada isikuandmete töötlemisest järelevalveasutustele. Kõnealune kohustus põhjustab haldus- ja finantskoormust, kuid see ei aidanud alati parandada isikuandmete kaitset. Seega tuleks selline valimatu üldise teatamise kohustus kaotada ning asendada see tõhusate menetluste ja mehhanismidega, mille raames keskendutakse hoopis neile töötlemistoimingutele, mis oma laadi, ulatuse või eesmärgi poolest võivad endast tõenäoliselt kujutada konkreetset ohtu andmesubjektide õigustele ja vabadustele. Sellistel juhtudel peaks vastutav töötleja või volitatud töötleja koostama enne töötlemist isikuandmete kaitse alase mõjuhinnangu, mis peaks eelkõige sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme isikuandmete kaitse tagamiseks ning käesoleva määruse täitmise tõendamiseks.

(71)

Seda tuleks eelkõige kohaldada hiljuti loodud suurte toimikusüsteemide puhul, mille eesmärk on töödelda suurt hulka isikuandmeid piirkondlikul, riiklikul või rahvusvahelisel tasandil ning mis võivad mõjutada paljusid andmesubjekte.

(71a)

Mõjuhinnangud moodustavad igasuguse jätkusuutliku andmetöötlusraamistiku tuuma ning tagavad, et ettevõtted on algusest peale teadlikud oma andmetöötlustoimingute kõigist võimalikest tagajärgedest. Põhjalike mõjuhinnangutega on võimalik andmetega seotud rikkumisi või privaatsusesse tungimise toiminguid täielikult piirata. Isikuandmete kaitse alane mõjuhinnang peaks seega arvesse võtma tervet isikuandmete korraldamise olelusringi, alates andmete kogumisest ja andmete töötlemisest kuni nende kustutamiseni, kirjeldades üksikasjalikult kavandatud töötlemistoiminguid, riske andmesubjektide õigustele ja vabadustele, kavandatavaid riskiga tegelemise meetmeid, kaitse- ning turvameetmeid ja mehhanisme, et tagada käesoleva määruse täitmine. [ME 44]

(71b)

Vastutavad töötlejad peaksid keskenduma isikuandmete kaitsele andmete kogu olelusringi kestel, nende kogumisest töötlemise ja hävitamiseni, panustades algusest peale jätkusuutliku andmehalduse raamistikku ja täiendades seda põhjaliku täitmismehhanismiga. [ME 45]

(72)

On juhtumeid, mille puhul võib olla mõistlik ja säästlik hõlmata isikuandmete kaitse alase mõjuhinnanguga rohkem kui üht projekti, näiteks juhul, kui avaliku sektori asutused või organid kavatsevad kasutusele võtta ühise rakenduse või töötlemisplatvormi või mitu vastutavat töötlejat kavatseb kasutusele võtta ühise rakenduse või töötlemiskeskkonna terves tööstusharus või allharus või laialdaselt kasutatava horisontaalse tegevuse puhul.

(73)

Kui isikuandmete kaitse alaseid mõjuhinnanguid ei ole koostatud juba selliste siseriiklike õigusaktide vastuvõtmisel, millele avaliku sektori asutuse või organi ülesannete täitmine tugineb ja millega reguleeritakse kõnealuseid konkreetseid töötlustoiminguid või nende kogumit, peaks avaliku sektori asutus või organ koostama sellise mõjuhinnangu. [ME 46]

(74)

Kui isikuandmete kaitse alasest mõjuhinnangust ilmneb, et töötlemistoimingud või konkreetse uue tehnoloogia kasutuselevõtt on seotud mitmete konkreetsete ohtudega andmesubjektide õigustele ja vabadustele, näiteks jättes üksikisikud ilma nende õigustest, konsulteeritakse enne tegevuse alustamist andmekaitseametniku või järelevalveasutusega ohtliku töötlemise asjus, mis ei pruugi käesoleva määrusega kooskõlas olla, ning tegemaks ettepanekuid sellise olukorra lahendamiseks. Selline Järelevalveasutusega konsulteerimine peaks toimuma ka siis, kui valmistatakse ette kas liikmesriigi parlamendi meedet või sellisel õigusaktil põhinevat meedet, millega määratakse kindlaks töötlemise laad ja nähakse ette vajalikud kaitsemeetmed. [ME 47]

(74a)

Mõjuhinnangutest on kasu vaid siis, kui vastutavad töötlejad tagavad neis algselt antud lubaduste täitmise. Vastutavad töötlejad peaksid seega korrapäraselt viima läbi andmekaitse vastavuse kontrolle, et näidata, et olemasolevad andmetöötlemise mehhanismid vastavad isikuandmete kaitse alases mõjuhinnangus püstitatud lubadustele. Samuti peaks see näitama vastutava töötleja suutlikkust austada andmesubjektide iseseisvaid otsuseid. Kui kontrolli käigus leitakse vastavuses ebakõlasid, tuleks need esile tuua ning esitada soovitusi täieliku vastavuse saavutamiseks. [ME 48]

(75)

Kui töötlemine toimub avalikus sektoris või erasektoris suurettevõtte poolt ja puudutab enam kui 5000 andmesubjekti 12 kuu jooksul või kui ettevõtte põhitegevus, olenemata tema suurusest, hõlmab tundlikke andmeid puudutavaid töötlustoiminguid või töötlustoiminguid , mis nõuavad regulaarset ja süstemaatilist järelevalvet, peaks vastutavat töötlejat või volitatud töötlejat abistama isik, kes kontrollib käesoleva määruse täitmist asutuse poolt. Selle kindlakstegemisel, kas töödeldakse andmeid suure arvu andmesubjektide kohta, ei tohiks arvesse võtta arhiveeritud andmeid, mis on piiratud selliselt, et vastutav töötleja ei saa tavapärasel viisil nendega tutvuda ega teha nendega töötlemistoiminguid, ning mida ei saa enam muuta. Sellistel andmekaitseametnikel, olgu nad siis vastutava töötleja töövõtjad või mitte ja täitku nad seda ülesannet täiskoormusega või mitte , peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatult ning nad peaksid olema eriliselt kaitstud vallandamise eest . Lõplik vastutus peaks lasuma organisatsiooni juhtkonnal. Andmekaitseametnik peab isikuandmete automaatseks töötlemiseks mõeldud süsteemide kavandamise, hankimise, arendamise ja paigaldamise eelnevalt läbi arutama kavandatud ja ettenähtud isikuandmete kaitse tagamiseks. [ME 49]

(75a)

Andmekaitseametnikul peaksid olema vähemalt järgmised kutseoskused: laialdased teadmised isikuandmete kaitse alaste õigusaktide sisust ja kohaldamisest, sealhulgas tehnilised ja organisatsioonilised meetmed; andmekaitse ja andmete turvalisusega seotud tehniliste nõudmiste alane kogemus; valdkonnaspetsiifilised teadmised vastavalt andmetöötluse mahule ja töödeldavate andmete delikaatsusele; võime kontrollida, konsulteerida, dokumenteerida ja logifaili analüüsida; oskus teha koostööd töötajate esindajatega. Vastutav töötleja peaks võimaldama andmekaitseametnikul osaleda täiendõppes, et alal hoida tema ülesannete täitmiseks vajalikke eriteadmisi. Andmekaitseametniku määramine ei eelda asjaomaselt töötajalt tingimata täiskohaga tööd. [ME 50]

(76)

Vastutavate töötlejate eri kategooriaid esindavaid ühendusi ja muid organeid tuleks kutsuda üles koostama pärast töötajate esindajatega konsulteerimist käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse konkreetsetes sektorites toimuva töötlemise eriomadusi. Sellised juhendid peaksid tegema käesoleva määruse nõuete järgimise majandusharu jaoks lihtsamaks. [ME 51]

(77)

Selleks et parandada läbipaistvust ja käesoleva määruse järgimist, tuleks soodustada sertifitseerimismehhanismide, isikuandmete kaitse pitserite ja standarditud märgiste kehtestamist, mis annavad andmesubjektidele võimaluse kiiresti , usaldusväärselt ja kontrollitavalt hinnata asjakohaste toodete ja teenuste isikuandmete kaitse taset. Euroopa tasandil tuleks luua märgis „Euroopa isikuandmete kaitse pitser“, et äratada andmesubjektides usaldust, pakkuda vastutavatele töötlejatele õiguskindlust ja samal ajal eksportida Euroopa andmekaitsestandardeid, võimaldades Euroopa-välistel ettevõtetel siseneda kergemini Euroopa turgudele, kui nad on sertifitseeritud. [ME 52]

(78)

Isikuandmete liikumine üle piiride on vajalik rahvusvahelise kaubanduse ja koostöö laiendamiseks. Nimetatud voogude suurenemine on laiendanud isikuandmete kaitsega seonduvate probleemide ringi. Isikuandmete edastamisel EList kolmandatele riikidele ja rahvusvahelistele organisatsioonidele ei tohiks aga kahjustada ELis käesoleva määrusega tagatud üksikisikute kaitse taset. Igal juhul tohib andmeid kolmandatele riikidele edastada ainult käesolevat määrust täielikult järgides.

(79)

Käesolev määrus ei piira ELi ja kolmandate riikide vahel sõlmitud selliste rahvusvaheliste lepingute kohaldamist, millega reguleeritakse isikuandmete edastamist, sealhulgas asjakohaseid andmesubjektide kaitsmise meetmeid , mis tagavad kodanike põhiõiguste kaitse piisava taseme . [ME 53]

(80)

Komisjon võib terve ELi osas otsustada, et teatavad kolmandad riigid, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon pakub isikuandmete kaitset piisaval tasemel, tagades seega terves ELis õiguskindluse ja ühtsuse seoses kolmandate riikide ja rahvusvaheliste organisatsioonidega, mis tagavad isikuandmete kaitse piisava taseme. Sellisel juhul Komisjon võib isikuandmete edastamine kõnealustesse riikidesse toimuda ilma täiendava loata ühtlasi otsustada, olles teavitanud kolmandat riiki ja andnud sellele täieliku põhjenduse, sellise otsuse tagasi võtta . [ME 54]

(81)

Kooskõlas põhiväärtustega, millele EL on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi hindamisel arvesse võtma seda, kuidas asjaomane kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest.

(82)

Samuti võib komisjon tunnistada, et kolmas riik, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon ei paku isikuandmete kaitset piisaval tasemel. Selliseid seadusandlikke akte, millega nähakse ette piiriülene juurdepääs liidus töödeldud isikuandmetele ilma liidu või liikmesriigi õiguse kohase loata, tuleks käsitada piisavuse puudumise märgina. Sellest tulenevalt peaks olema keelatud isikuandmete edastamine kõnealusele kolmandale riigile. Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni konsultatsioonid. [ME 55]

(83)

Kaitse piisavust käsitleva otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et tasakaalustada kolmanda riigi isikuandmete kaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad ettevõtluseeskirjad, komisjoni vastu võetud standardsed isikuandmete kaitse klauslid, järelevalveasutuse vastu võetud standardsed isikuandmete kaitse klauslid, järelevalveasutuse heaks kiidetud lepingusätted. ning muud kohased ja proportsionaalsed meetmed Need asjakohased kaitsemeetmed peaksid tagama sellise austuse andmesubjektide õiguste vastu , mis on põhjendatud andmete edastamise toimingu(te) kõigi asjaoludega ja mille järelevalveasutus on heaks kiitnud samaväärne ELi-siseses andmetöötluses kehtivaga, eriti seoses eesmärgi piiritlemisega, õigusega andmetega tutvumisele, nende muutmisele, kustutamisele ning nõuda hüvitist . Need kaitsemeetmed peaksid eelkõige tagama isikuandmete töötlemise põhimõtete järgimise, kaitsma andmesubjektide õigusi ning nägema ette tulemuslikud kahju hüvitamise mehhanismid, tagama isikuandmete lõimitud ja vaikimisi kaitse põhimõtete järgimise, tagama andmekaitseametniku olemasolu . [ME 56]

(84)

Vastutavale töötlejale ja volitatud töötlejale antud võimalus kasutada komisjoni või järelevalveasutuse vastu võetud standardseid isikuandmete kaitse klausleid ei tohiks välistada vastutava töötleja ja volitatud töötleja võimalust lisada standardsed isikuandmete kaitse klauslid põhjalikumasse lepingusse ega võimalust lisada muid sätteid või täiendavaid kaitsemeetmeid , kui need ei lähe otseselt ega kaudselt vastuollu komisjoni või järelevalveasutuse vastu võetud standardsete isikuandmete kaitse klauslitega ega piira andmesubjektide põhiõigusi ja -vabadusi. Komisjoni poolt vastu võetud isikuandmete kaitse standardklauslid võiksid hõlmata eri olukordi, nimelt liidus asutatud volitatud töötlejate andmeedastusi väljaspool liitu asutatud volitatud töötlejatele ning liidus asutatud volitatud töötlejatelt väljaspool liitu asutatud vastutavatele töötlejatele, sh alltöötlejatele. Vastutavaid töötlejaid ja volitatud töötlejaid tuleks ergutada nägema ette tõhusamaid kaitsemeetmeid täiendavate lepinguliste kohustuste abil, mis täiendavad standardseid kaitseklausleid. [ME 57]

(85)

Kontsern peaks saama andmete rahvusvahelise edastamise korral EList samasse kontserni kuuluvatele organisatsioonidele kasutada heakskiidetud siduvaid ettevõtluseeskirju, kui sellised eeskirjad hõlmavad kõiki olulisi põhimõtteid ja kohtulikult kaitstavaid õigusi, et tagada sobivad kaitsemeetmed isikuandmete edastamise eri liikide puhul. [ME 58]

(86)

Andmete edastamine peaks olema võimalik teatavatel asjaoludel, kui andmesubjekt on andnud oma nõusoleku, kui edastamine on vajalik seoses lepingu või kohtumenetlusega, kui seda nõuab ELi või liikmesriikide õiguses sätestatud kaalukas avalik huvi või kui edastatakse seadusega loodud ja avalikkusele või kõigile õigustatud huviga isikutele tutvumiseks avatud registrist pärinevaid andmeid. Viimati nimetatud juhul ei tohiks edastada kõiki andmeid ega registris sisalduvate andmete kõiki liike ja juhul, kui register on mõeldud tutvumiseks õigustatud huviga isikutele, tuleks andmed edastada ainult kõnealuste isikute taotluse korral või juhul, kui nemad on andmete vastuvõtjad , võttes täielikult arvesse andmesubjekti huve ja põhiõigusi . [ME 59]

(87)

Nimetatud erandid on asjakohased eelkõige selliste andmeedastustoimingute puhul, mis on vajalikud kaaluka avaliku huvi kaitsmiseks, näiteks andmete rahvusvahelisel edastamisel konkurentsi-, maksu- ja tolli-, finantsjärelevalve-, sotsiaalkindlustus- finantsjärelevalveasutuste, sotsiaalkindlustuse ja rahvatervise valdkonnas pädevate asutuste ning kuritegude tõkestamises, uurimises, avastamises või kuritegude eest vastutusele võtmises , sealhulgas rahapesu ja terrorismi rahastamise tõkestamises pädevate asutuste vahel. Isikuandmete edastamist tuleks pidada seaduslikuks ka siis, kui see on vajalik andmesubjekti või muu isiku eluliste huvide kaitsmiseks, kui andmesubjekt ei ole võimeline nõusolekut andma. Isikuandmete edastamist sellistel olulistel avaliku huvi põhjustel tuleks kasutada ainult juhuslike edastamiste puhul. Igal üksikul juhul tuleb hoolikalt kaaluda kõiki edastamise asjaolusid. [ME 60]

(88)

Edastamine, mida ei saa pidada sagedaseks ega mahukaks, võib samuti toimuda vastutava töötleja või volitatud töötleja õigustatud huvides, kui ta on hinnanud andmeedastustoimingu kõiki asjaolusid. Isikuandmete töötlemise korral ajaloo- või statistikauurimuste ning teadustöö eesmärgil tuleks arvesse võtta ühiskonna õiguspäraseid ootusi laialdasemate teadmiste osas. [ME 61]

(89)

Kõigil juhtudel, kui komisjon ei ole teinud otsust kolmanda riigi isikuandmete kaitse taseme piisavuse kohta, peaks vastutav töötleja või volitatud töötleja kasutama lahendusi, mis annavad andmesubjektidele õiguslikult siduva tagatise, et neil on pärast neid käsitlevate andmete edastamist samad põhiõigused ja nende suhtes kohaldatakse samu kaitsemeetmeid, kui andmete töötlemise korral liidus , tingimusel et töötlemine ei ole massiline, korduv ega struktuuriline . Tagatise alla peaks kuuluma rahaline hüvitamine kahju kannatamise või loata andmetega tutvumise või nende töötlemise korral ning siseriiklikest õigusaktidest olenemata kohustus esitada kõik üksikasjad iga korra kohta, mil andmetega on tutvunud kolmanda riigi avaliku sektori asutused . [ME 62]

(90)

Mõned kolmandad riigid kehtestavad seadused, määrused ja muud õigusaktid, millega vahetult reguleeritakse liikmesriikide jurisdiktsiooni alla kuuluvate füüsiliste ja juriidiliste isikute andmetöötlustoiminguid. Nende seaduste, määruste ja muude õigusaktide kohaldamine väljaspool asjaomase kolmanda riigi territooriumi võib olla vastuolus rahvusvahelise õigusega ning takistada ELis käesoleva määrusega tagatud üksikisikute kaitse taseme saavutamist. Edastamine peaks olema lubatud ainult juhul, kui on täidetud käesoleva määruse tingimused kolmandatesse riikidesse edastamise kohta. Nii võib see olla muu hulgas siis, kui avaldamine on vajalik kaaluka avaliku huvi tõttu, mis on sätestatud kas ELi või liikmesriigi õiguses, mida vastutava töötleja suhtes kohaldatakse. Komisjon peaks täpsustama kaaluka avaliku huvi esinemise tingimusi delegeeritud õigusaktiga. Juhtudel, kui vastutavad töötlejad või volitatud töötlejad seisavad silmitsi vastuoluliste vastavuse nõuetega ühelt poolt liidu jurisdiktsiooni ning teiselt poolt kolmanda riigi jurisdiktsiooni vahel, peab komisjon tagama, et liidu õigus oleks alati ülimuslik. Komisjon peaks pakkuma vastutavale töötlejale ja volitatud töötlejale suuniseid ja abi ning püüdma lahendada jurisdiktsiooni konflikte kõnealuse kolmanda riigiga. [ME 63]

(91)

Isikuandmete liikumine üle piiride võib raskendada üksikisikute võimalusi kasutada õigust isikuandmete kaitsele, eelkõige kaitsta end nimetatud teabe ebaseadusliku kasutamise ja avaldamise eest. Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega teostada uurimist väljapoole oma riigi piire jäävates küsimustes. Nende piiriülese koostöö püüdlusi võivad takistada ka ebapiisavad volitused tõkestamisel ja olukordade parandamisel, ebaühtlane õiguskord ja praktilised tõkked, nagu piiratud vahendid. Seepärast on vaja tihendada isikuandmete kaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet ja teostada uurimist koos teiste riikide järelevalveasutustega.

(92)

Liikmesriikides täiesti sõltumatult oma tööülesandeid täitvate järelevalveasutuste loomine on oluline tegur üksikisikute kaitsmisel seoses nende isikuandmete töötlemisega. Liikmesriik võib luua mitu järelevalveasutust, et arvestada nende põhiseaduslikku, organisatsioonilist ja haldusstruktuuri. Asutusel on piisav personal ja piisavad rahalised vahendid oma rolli täielikuks täitmiseks, võttes arvesse elanikkonna suurust ja töödeldavate isikuandmete kogust. [ME 64]

(93)

Kui liikmesriik loob mitu järelevalveasutust, peaks ta seadusega kehtestama mehhanismid, millega tagatakse nende järelevalveasutuste tõhus osalemine järjepidevuse mehhanismis. Eelkõige peaks kõnealune liikmesriik määrama järelevalveasutuse, kes tegutseb keskse kontaktpunktina nende asutuste tõhusaks osalemiseks mehhanismis, et tagada kiire ja takistusteta koostöö teiste järelevalveasutustega, Euroopa Andmekaitsenõukogu ja komisjoniga.

(94)

Igale järelevalveasutusele tuleks anda piisavad rahalised ja inimressursid, hooned ja infrastruktuur pöörates erilist tähelepanu personali piisavate tehniliste ja õigusalaste oskuste , hoonete ja infrastruktuuri tagamisele , mis on vajalikud nende ülesannete, sealhulgas terve ELi järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks. [ME 65]

(95)

Järelevalveasutuse liikmetele esitatavad üldtingimused tuleks kehtestada igas liikmesriigis seadusega ning eelkõige tuleks ette näha see, et liikmed peaks ametisse nimetama kas liikmesriigi parlament või valitsus, hoolitsedes nõuetekohaselt selle eest, et viia miinimumini poliitilise sekkumise võimalus, ning eeskirjad liikmete isikliku kvalifikatsiooni , huvide konfliktide vältimise ja ametiseisundi kohta. [ME 66]

(96)

Järelevalveasutused jälgivad käesoleva määruse kohaldamist ja aitavad kaasa selle ühtsele kohaldamisele terves ELis, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel ning soodustada isikuandmete vaba liikumist siseturul. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga.

(97)

Kui ELis asuva vastutava töötleja või volitatud töötleja tegevuse raames töödeldakse isikuandmeid mitmes liikmesriigis, peaks kontrollima vastutava töötleja või volitatud töötleja tervet ELi hõlmavat tegevust hõlmava tegevuse ühtse kontaktpunktina ja nende järelevalve eest vastutava juhtiva asutusena tegutsema ja võtma vastu seonduvad otsused üks järelevalveasutus, et parandada kohaldamise järjepidevust, õiguskindlust ja vähendada asjaomaste vastutavate töötlejate ja volitatud töötlejate halduskoormust. [ME 67]

(98)

Selliseks ühtseks kontaktpunktiks olev pädev juhtiv asutus on selle liikmesriigi järelevalveasutus, kus on vastutava töötleja või volitatud töötleja peamine tegevuskoht või esindaja . Teatud juhtudel võib pädeva asutuse taotlusel määrata juhtiva asutuse järjepidevuse mehhanismi abil Euroopa Andmekaitsenõukogu . [ME 68]

(98a)

Andmesubjektid, kelle isikuandmeid töötleb teise liikmesriigi vastutav töötleja või volitatud töötleja, peaksid saama esitada kaebuse oma valitud järelevalveasutusele. Juhtiv andmekaitseasutus peaks koordineerima oma tööd teiste asjaomaste asutustega. [ME 69]

(99)

Kuigi käesolevat määrust kohaldatakse ka liikmesriikide kohtute tegevuse suhtes, ei peaks järelevalveasutuste pädevus selleks, et kaitsta kohtunike sõltumatust nende ülesannete täitmisel, hõlmama isikuandmete töötlemist juhul, kui kohtud tegutsevad oma õigusliku pädevuse piires. Kõnealune erand peaks siiski rangelt piirduma õiguskaitseasutuste tegevusega kohtuasjades ega tohiks laieneda muule tegevusele, millega kohtunikud võivad olla seotud vastavalt siseriiklikele õigusaktidele.

(100)

Selleks et tagada kogu liidus ühtlane järelevalve käesoleva määruse üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja volitused, sealhulgas uurimis-, õiguslikult siduva sekkumise, otsuste tegemise ja sanktsioonide kehtestamise volitused, eelkõige üksikisikute esitatud kaebuste puhul, ning volitused osaleda kohtumenetlustes. Järelevalveasutuste uurimisvolitusi seoses juurdepääsuga ruumidele tuleks kasutada kooskõlas ELi ja liikmesriikide õigusega. Eelkõige on see nii kohtu eelneva loa hankimise nõude puhul.

(101)

Iga järelevalveasutus peaks võtma vastu andmesubjekti või avalikes huvides tegutseva ühenduse esitatud kaebuse ja küsimust uurima. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemus peaks olema võimalik kohtulikult läbi vaadata. Järelevalveasutus peaks teavitama andmesubjekti või ühendust kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile. [ME 70]

(102)

Järelevalveasutuste avalikkusele suunatud teadlikkuse tõstmise meetmed peaksid hõlmama volitatud töötlejatele, sealhulgas mikro-, väike- ja keskmise suurusega ettevõtetele ning andmesubjektidele suunatud konkreetseid meetmeid.

(103)

Järelevalveasutused peaksid abistama üksteist ülesannete täitmisel ja andma vastastikust abi, et tagada käesoleva määruse järjekindel kohaldamine ja täitmine siseturul.

(104)

Igal järelevalveasutusel peaks olema õigus osaleda järelevalveasutuste ühisoperatsioonides. Taotluse saanud järelevalveasutus peaks olema kohustatud taotlusele vastama kindlaksmääratud ajavahemiku jooksul.

(105)

Selleks et tagada käesoleva määruse ühtne kohaldamine terves ELis, tuleks kehtestada järelevalveasutuste vaheliseks ja komisjoniga tehtavaks koostööks järjepidevuse mehhanism. Kõnealust mehhanismi tuleks kohaldada eelkõige siis, kui järelevalveasutus kavatseb võtta meetmeid seoses töötlustoimingutega, mis on seotud kaupade või teenuste pakkumisega mitmes liikmesriigis asuvatele andmesubjektidele või selliste andmesubjektide jälgimisega või mis võivad oluliselt mõjutada isikuandmete vaba liikumist. Mehhanismi tuleks kohaldada ka siis, kui mis tahes järelevalveasutus või komisjon taotleb küsimuse käsitlemist järjepidevuse mehhanismi raames. Seejuures peaks olema andmesubjektil õigus järjepidevusele, kui ta leiab, et liikmesriigi andmekaitseasutus ei ole täitnud seda kriteeriumit. Nimetatud mehhanism ei tohi piirata mis tahes meedet, mida komisjon võib võtta oma aluslepingutest tulenevate volituste kasutamisel. [ME 71]

(106)

Järjepidevuse mehhanismi kohaldamise korral peaks Euroopa Andmekaitsenõukogu esitama kindlaksmääratud ajavahemiku jooksul oma arvamuse, kui nii otsustatakse liikmete lihthäälteenamusega või kui seda taotleb mis tahes järelevalveasutus või komisjon.

(106a)

Käesoleva määruse järjepideva kohaldamise tagamiseks võib Euroopa Andmekaitsenõukogu võtta üksikjuhtudel vastu otsuse, mis on pädevate järelevalveasutuste jaoks siduv. [ME 72]

(107)

Selleks et tagada käesoleva määruse järgimine, võib komisjon vastu võtta käesolevat valdkonda käsitleva arvamuse või otsuse, mille alusel peab järelevalveasutus oma kavandatava meetme peatama. [ME 73]

(108)

Selleks et kaitsta andmesubjektide huve, võib olla vaja tegutseda kiiresti, eriti siis, kui on olemas oht, et andmesubjekti õiguse kohtuliku kaitsmise võimalust võidakse märkimisväärselt takistada. Seetõttu peaks järelevalveasutusel olema võimalik võtta järjepidevuse mehhanismi kohaldamise korral konkreetse kehtivusajaga ajutisi meetmeid.

(109)

Kõnealuse mehhanismi kohaldamine peaks olema järelevalveasutuse vastava otsuse õiguspärasuse ja täitmisele pööramise tingimus. Teistel piiriülese tähtsusega juhtudel võivad asjaomased järelevalveasutused kahepoolselt või mitmepoolselt pakkuda vastastikust abi ja teostada ühist uurimist, kasutamata selleks järjepidevuse mehhanismi.

(110)

ELi tasandil tuleks luua Euroopa Andmekaitsenõukogu. See peaks asendama direktiivi 95/46/EÜ alusel loodud töörühma üksikisikute kaitseks seoses isikuandmete töötlemisega. Sinna peaksid kuuluma iga liikmesriigi järelevalveasutuse juht ja Euroopa andmekaitseinspektor. Komisjon peaks osalema nõukogu tegevuses. Euroopa Andmekaitsenõukogu peaks aitama kaasa käesoleva määruse ühtsele kohaldamine kohaldamisele terves ELis, sealhulgas nõustades komisjoni liidu institutsioone ja edendades järelevalveasutuste koostööd terves ELis , kaasa arvatud ühisoperatsioonide kooskõlastatust . Euroopa Andmekaitsenõukogu peaks täitma oma ülesandeid sõltumatult. Euroopa Andmekaitsenõukogu peaks tugevdama dialoogi selliste asjaomaste sidusrühmade nagu andmesubjektide liitude, tarbijaorganisatsioonide, vastutavate töötlejate ning muude asjakohaste sidusrühmade ja asjatundjatega. [ME 74]

(111)

Igal andmesubjektil Andmesubjektidel peaks olema õigus esitada kaebus ükskõik millise liikmesriigi järelevalveasutusele ja õigus tõhusale õiguskaitsevahendile kooskõlas põhiõiguste harta artikliga 47 , kui ta nad on seisukohal, et tema nende käesolevast määrusest tulenevaid õigusi on rikutud, või kui järelevalveasutus ei reageeri kaebusele ega võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. [ME 75]

(112)

Mis tahes asutusel, organisatsioonil või ühingul, mille eesmärk on kaitsta andmesubjektide andmete kaitsega seonduvaid õigusi ja huve mis tegutseb avalikes huvides ja mis on loodud liikmesriigi õigusakti alusel, peaks olema õigus esitada järelevalveasutusele andmesubjektide nõusolekul nende nimel kaebus või kasutada andmesubjekti volitusel õigust õiguskaitsevahendile andmesubjektide nimel või esitada andmesubjekti kaebusest sõltumatult oma kaebus, kui ta leiab, et käesolevat määrust on rikutud. [ME 76]

(113)

Iga füüsilisel ja juriidilisel isikul peaks olema õigus õiguskaitsevahendile järelevalveasutuse teda käsitleva otsuse puhul. Järelevalveasutuse vastane hagi tuleks esitada selle liikmesriigi kohtutele, kus järelevalveasutus asub.

(114)

Andmesubjekti õiguskaitse parandamiseks olukorras, kus pädev järelevalveasutus asub liikmesriigis, mis ei ole andmesubjekti elukohariik, võib andmesubjekt paluda volitada mis tahes avalikes huvides tegutseval asutusel, organisatsioonil või ühingul, mille eesmärk on kaitsta andmesubjektide andmete kaitsega seonduvaid õigusi ja huve, esitada andmesubjekti nimel hagi kõnealuse järelevalveasutuse vastu teise liikmesriigi pädevale kohtule. [ME 77]

(115)

Olukorras, kus teises liikmesriigis asuv pädev järelevalveasutus ei võta seoses kaebusega meetmeid või on tema võetud meetmed ebapiisavad, võib andmesubjekt esitada oma tavapärases elukohariigis asuvale järelevalveasutusele taotluse, et see esitaks teise liikmesriigi pädevale kohtule hagi teise liikmesriigi järelevalveasutuse vastu. See ei kehti kolmandate riikide residentide kohta. Taotluse saanud järelevalveasutus võib otsustada, kas taotluse vastuvõtmine on asjakohane või mitte ning tema otsuse võib kohtulikult läbi vaadata. [ME 78]

(116)

Vastutava töötleja või volitatud töötleja vastase hagi korral peaks hagejal olema võimalus esitada hagi kohtule liikmesriigis, kus vastutav töötleja või volitatud töötleja asub või ELi residentsuse puhul andmesubjekti elukohariigis, välja arvatud juhul, kui vastutav töötleja on liidu või liikmesriigi avaliku sektori asutus, kes teostab oma avalikku võimu. [ME 79]

(117)

Kui on tõendeid, et üheaegselt on käimas kohtumenetlused erinevates liikmesriikides, peaksid kohtud üksteisega ühendust võtma. Kohtutel peaks olema võimalus kohtuasi lõpetada juhul, kui on pooleli paralleelne menetlus teises liikmesriigis. Liikmesriigid peaksid tagama, et kohtumenetluste tulemuslikkuse tagamiseks peaks olema võimalik kiiresti võtta meetmeid käesoleva määruse rikkumise heastamiseks või ärahoidmiseks.

(118)

Igasuguse rahalise või mitterahalise kahju, mida üksikisikule võib põhjustada ebaseaduslik töötlemine, peaks kompenseerima vastutav töötleja või volitatud töötleja, kes võidakse sellest kohustusest vabastada üksnes kui ta tõestab, et ta ei ole kahju eest vastutav, seda eelkõige andmesubjekti süü või vääramatu jõu korral. [ME 80]

(119)

Igale eraõiguslikule või avalik-õiguslikule isikule, kes ei järgi käesolevat määrust, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja hoiatavad ning nad peaksid võtma kõik meetmed karistuste täitmisele pööramiseks. Karistusi käsitlevate eeskirjade suhtes tuleks kohaldada nõuetekohaseid menetluslikke tagatisi kooskõlas liidu õiguse ja põhiõiguste harta üldpõhimõtetega, sealhulgas need, mis puudutavad õigust tõhusale õiguskaitsevahendile, õiglasele kohtumenetlusele ja topeltkaristamise keeldu. [ME 81]

(119a)

Karistuste kohaldamisel peaksid liikmesriigid täielikult austama nõuetekohaseid menetluslikke tagatisi, sealhulgas õigust tõhusale õiguskaitsevahendile, õiglasele kohtumenetlusele ja topeltkaristamise keeldu. [ME 82]

(120)

Selleks et tugevdada ja ühtlustada halduskaristusi käesoleva määruse rikkumise korral, peaksid igal järelevalveasutusel olema volitused karistada haldusrikkumiste eest. Käesolevas määruses tuleks loetleda need rikkumised ja sätestada asjaomase haldustrahvi ülemmäär, mis tuleks iga juhtumi puhul eraldi kindlaks määrata vastavalt konkreetsele olukorrale, eelkõige silmas pidades rikkumise laadi, raskusastet ja ajalist kestvust. Halduskaristuste kohaldamise erinevuste kompenseerimiseks võib kasutada ka järjepidevuse mehhanismi.

(121)

Juhul kui isikuandmeid töödeldakse ainult ajakirjanduse jaoks või kunstilise või kirjandusliku eneseväljenduse huvides, Vajadusel tuleks isikuandmete töötlemise jaoks kohaldada erandit ette näha vabastusi või erandeid käesoleva määruse teatavate sätete nõuetest, et viia omavahel vastavusse isikuandmete kaitse õigus ja väljendusvabadusõigus, eelkõige Euroopa Liidu põhiõiguste harta artikliga 11 tagatud õigus saada ja levitada teavet. Seda tuleks kohaldada eelkõige isikuandmete töötlemise suhtes audiovisuaalvaldkonnas ning uudiste arhiivide ja perioodikaraamatukogude puhul. Seepärast peaksid liikmesriigid vastu võtma õigusaktid, millega kehtestatakse vabastused ja erandid, mis on vajalikud nimetatud põhiõiguste tasakaalustamise eesmärgil. Sellised vabastused ja erandid peaksid liikmesriigid vastu võtma üldpõhimõtete, andmesubjekti õiguste, vastutava töötleja ja volitatud töötleja, andmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamise, sõltumatute järelevalveasutuste koostöö ja ühtsuse ning andmete töötlemise eriolukordade kohta. Liikmesriigid ei tohiks siiski kehtestada erandeid käesoleva määruse muudest sätetest. Selleks et võtta arvesse väljendusvabadusõiguse tähtsust igas demokraatlikus ühiskonnas, tuleb tõlgendada selle vabadusega seonduvaid kontseptsioone näiteks ajakirjandust, üldiselt. Seepärast peaksid liikmesriigid klassifitseerima käesoleva määrusega kehtestatavate vabastuste ja erandite seisukohast tegevuse „ajakirjanduslikuna“ siis, kui tegevuse , et hõlmata kõik tegevused, mille eesmärk on üldsusele teabe, arvamuste või ideede avaldamine, sõltumata nende edastamise kanalist , võttes samuti arvesse tehnoloogia arengut . Tegevus ei tohiks piirduda meediaettevõtjatega ning see võib toimuda tulunduslikel või mittetulunduslikel eesmärkidel. [ME 83]

(122)

Terviseandmete kui põhjalikumat kaitset vääriva andmete eriliigi töötlemist põhjendatakse tihti mitme seadusliku põhjusega, näiteks üksikisiku ja terve ühiskonna kasuga, eelkõige piiriülese tervishoiu järjepidevuse tagamise kontekstis. Seetõttu tuleks käesoleva määrusega ühtlustada terviseandmete töötlemine, mille puhul rakendatakse konkreetseid ja sobivaid kaitsemeetmeid, et kaitsta üksikisikute põhiõigusi ja isikuandmeid. See hõlmab üksikisikute õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised.

(122a)

Terviseandmeid töötlevale tervishoiutöötajale edastatavates andmetes esinevad nimed tuleks võimaluse korral muuta anonüümseks või asendada varjunimega, et identiteedist oleks teadlik vaid andmete töötlemist vajanud perearst või spetsialist. [ME 84]

(123)

Terviseandmete töötlemine (ilma andmesubjekti nõusolekuta) võib olla avalikes huvides vajalik näiteks rahvatervise valdkonnas. Selles kontekstis tõlgendatakse „rahvatervist“ Euroopa Parlamendi ja nõukogu 16. detsembri 2008. aasta määruse (EÜ) nr 1338/2008 (9) (rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta) mõistes, mille kohaselt rahvatervis on kõik tervisega seotud asjaolud, täpsemalt terviseseisund, sealhulgas haigestumus ja puuded, terviseseisundit mõjutavad tegurid, tervishoiualased vajadused, tervishoiule eraldatud vahendid, tervishoiuteenuse osutamine ja selle üldine kättesaadavus, samuti kulutused tervishoiule ja selle rahastamine ning suremuse põhjused. Sellise terviseandmete avalikes huvides töötlemise tulemusel ei tohiks isikuandmeid muudel eesmärkidel töödelda kolmandad isikud, näiteks tööandjad, kindlustus- ja pangandusettevõtjad.

(123a)

Tervist puudutavate isikuandmete kui andmete eriliigi töötlemine võib olla vajalik ajaloo- ja statistikauurimuste või teadustöö eesmärgil. Seepärast nähakse käesoleva määrusega ette erand nõusoleku nõuetest juhtudel, kui teadustöö teenib suurt avalikku huvi. [ME 86]

(124)

Üksikisikute kaitse põhimõtteid nende isikuandmete töötlemisel tuleks kohaldada ka töösuhte ja sotsiaalkindlustuse kontekstis. Selleks et Liikmesriigid peaksid suutma reguleerida töövõtjate isikuandmete töötlemist töösuhte kontekstis, peaksid liikmesriigid seetõttu suutma kooskõlas käesoleva määrusega õigusaktiga vastu võtta ja isikuandmete töötlemist sotsiaalkindlustuse kontekstis kooskõlas käesolevas määruses sätestatud eeskirjade ja miinimumstandarditega. Juhul kui asjaomases liikmesriigis on ette nähtud õiguslik alus töösuhte küsimuste reguleerimiseks töövõtjate esindajate ja ettevõtte või kontserni kontrolliva ettevõtte juhtkonna vahelise lepingu (kollektiivleping) kaudu või Euroopa Parlamendi ja nõukogu direktiivi 2009/38/EÜ  (10) raames , võib sellise lepingu kaudu reguleerida ka isikuandmete töötlemise erieeskirjad töötlemist töösuhte kontekstis. [ME 87]

(125)

Selleks et isikuandmete töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil oleks seaduslik, tuleb selle juures järgida ka muid asjaomaseid õigusakte, näiteks kliinilisi uuringuid käsitlevaid õigusakte.

(125a)

Isikuandmeid võivad täiendavalt töödelda ka arhiivid, kelle esmane ülesanne või juriidiline kohustus on arhivaale koguda, säilitada, anda nende kohta teavet, neid kasutada ja levitada avalikes huvides. Liikmesriikide seadusandlikes aktides tuleks ühendada õigus isikuandmete kaitsele arhiive ja haldusteabele juurdepääsu käsitlevate eeskirjadega. Liikmesriigid peaksid eelkõige Euroopa arhiivide töörühma ergutama koostama eeskirju, mis tagavad andmete konfidentsiaalsuse kolmandate isikute suhtes ning andmete autentsuse, tervikluse ja nõuetekohase säilitamise. [ME 88]

(126)

Käesoleva määruse tähenduses hõlmab teadustegevus alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid, lisaks tuleks seejuures arvesse võtta Euroopa Liidu toimimise lepingu artikli 179 lõikes 1 sätestatud ELi eesmärki luua Euroopa teadusruum. Isikuandmete töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil ei tohi põhjustada isikuandmete töötlemist muudel eesmärkidel, välja arvatud andmesubjekti nõusolekul või liidu või liikmesriigi õiguse alusel. [ME 89]

(127)

Seoses järelevalveasutuste volitustega saada vastutavalt töötlejalt või volitatud töötlejalt juurdepääs isikuandmetele ning ruumidele, võivad liikmesriigid õigusaktiga ja käesoleva määruse piires vastu võtta konkreetseid eeskirju, et kaitsta äri- ja muude samaväärsete saladuse hoidmise kohustusi niivõrd, kuivõrd see on vajalik isikuandmete kaitse õiguse ja saladuse hoidmise kohustuse ühildamiseks.

(128)

Käesolev määrus austab ega piira staatust, mis siseriikliku õiguse kohaselt on liikmesriikides kirikutel ja usuühendustel või -kogukondadel, nagu on sätestatud Euroopa Liidu toimimise lepingu artiklis 17. Seega, kui liikmesriigis asuv kirik kohaldab käesoleva määruse jõustumise ajal terviklikke nõuetekohaseid eeskirju üksikisikute kaitse kohta isikuandmete töötlemisel, peaksid olemasolevad eeskirjad jääma kehtima, kui need viiakse käesoleva määrusega kooskõlla ja need tunnistatakse määrusele vastavaks . Sellistelt kirikutelt ja usuühendustelt tuleks nõuda, et nad looksid täielikult sõltumatu järelevalveasutuse. [ME 90]

(129)

Selleks et täita käesoleva määruse eesmärke, täpsemalt kaitsta füüsiliste isikute põhiõigusi ja –vabadusi, eelkõige nende õigust isikuandmete kaitsele ja tagada ELis isikuandmete vaba liikumine, tuleks komisjonile anda Euroopa Liidu toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte. Eelkõige tuleks delegeeritud õigusaktid vastu võtta järgnevates valdkondades: töötlemise seaduslikkus; lapse nõusoleku kriteeriumide ikoonipõhise teabe jagamise viisi ja tingimuste täpsustamine; õigus andmete eriliikide töötlemine; taotluse selgelt liiga mahukaks tunnistamise kriteeriumide ja tingimuste ning andmesubjekti õiguste kasutamise tasude täpsustamine; andmesubjekti teavitamise ja andmetega tutvumise õiguse kriteeriumid ja nõuded; õigus olla unustatud ja õigus nõuda andmete kustutamist; profiilianalüüsil põhinevad meetmed; vastutava töötleja vastutuse ning isikuandmete lõimitud ja vaikimisi kaitse kriteeriumid ja nõuded; volitatud töötleja; dokumenteerimise ja töötlemise turvalisuse kriteeriumid ja nõuded; isikuandmetega seotud rikkumise tuvastamise, sellest järelevalveasutusele teatamise ning olukorra, kus isikuandmetega seotud rikkumine võib tõenäoliselt kahjustada andmesubjekti, kriteeriumid ja nõuded; isikuandmete kaitse alast mõjuhinnangut nõudvate töötlemistoimingute kriteeriumid ja tingimused; eelnevat konsulteerimist nõudva konkreetse ja märkimisväärse ohtu määratlemise kriteeriumid ja nõuded; andmekaitseametniku määramine ja tema ülesanded; kustutamisele; teatamine, et toimimisjuhendid on käesoleva määrusega kooskõlas ; sertifitseerimismehhanismidele esitatavad kriteeriumid ja nõuded; kolmanda riigi või rahvusvahelise organisatsiooni pakutava kaitse piisav tase; siduvate ettevõtluseeskirjade alusel edastamise kriteeriumid ja nõuded; edastamisega seonduvad erandid; halduskaristused; töötlemine tervise kaitse eesmärgil; ning töötlemine töösuhte kontekstis ning töötlemine ajaloo- või statistikauurimuste ning teadustöö eesmärgil. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil ja eriti Euroopa Andmekaitsenõukoguga . Komisjon peaks delegeeritud õigusaktide ettevalmistamise ja koostamise ajal tagama asjakohaste dokumentide sama- ja õigeaegse ning asjakohase edastamise Euroopa Parlamendile ja nõukogule. [ME 91]

(130)

Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks anda komisjonile rakendusvolitused järgnevates valdkondades: kontrollitava nõusoleku saamise erimeetodite tüüpvormide kehtestamine seoses lapse isikuandmete töötlemise tüüpvormide kehtestamine töötlemisega ; andmesubjektide õiguste kasutamisest teavitamise tüüpvormid; andmesubjektide õiguste kasutamise tüüpkord ja -vormid; andmesubjekti teavitamise tüüpvormid; andmetega tutvumise tüüpvormid ja -kord; õiguse andmete ülekantavusele; isikuandmete lõimitud ja vaikimisi kaitse ning dokumenteerimisega seonduva vastutava sealhulgas andmesubjektidele isikuandmete edastamiseks; nende dokumentidega seonduvad tüüpvormid, mida peavad pidama vastutav töötleja ja volitatud töötleja vastutuse tüüpvormid; töötlemise turvalisuse konkreetsed nõuded; isikuandmetega seotud rikkumisest järelevalveasutusele teatamise ning ja isikuandmetega seotud rikkumisest andmesubjektile teatamise tüüpvorming ja -kord; isikuandmete kaitse alase mõjuhinnangu standardid ja kord rikkumise dokumenteerimise tüüpvorm ; eelneva loa ja eelneva konsulteerimise ja järelevalveasutusele esitatava teabe vormid ja kord; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; andmete avaldamine juhtudel, kui liidu õigusaktidega ei ole seda lubatud; vastastikune abi; ühisoperatsioonid; järjepidevuse mehhanismi raames tehtavad otsused. Kõnealuseid volitusi tuleks kasutada vastavalt Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrusele (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes  (11). Seejuures peaks komisjon kaaluma konkreetsete meetmete kehtestamist mikro-, väike- ja keskmise suurusega ettevõtete jaoks. [ME 92]

(131)

Arvestades, et allpool loetletud meetmed on üldise iseloomuga, tuleks kasutada nende järgmiste erimeetodite tüüpvormide vastuvõtmisel kasutada kontrollimenetlust: lapse kontrollitava nõusoleku tüüpvormide kehtestamine saamise erimeetodid seoses lapse isikuandmete töötlemisega ; andmesubjektide õiguste kasutamise tüüpkord ja -vormid; andmesubjekti teavitamise tüüpvormid kasutamisest teavitamine; andmesubjektide õiguste kasutamine ; andmetega tutvumise õiguse kasutamise tutvumine, sealhulgas andmesubjektidele isikuandmete edastamiseks; nende dokumentidega seonduv, mida peab pidama vastutav töötleja tüüpvormid ja -kord; õiguse andmete ülekantavusele; isikuandmete lõimitud ja vaikimisi kaitse ning dokumenteerimisega seonduva vastutava volitatud töötleja vastutuse tüüpvormid; töötlemise turvalisuse konkreetsed nõuded; isikuandmetega seotud rikkumisest järelevalveasutusele teatamise ning teatamine ja isikuandmetega seotud rikkumisest andmesubjektile teatamise tüüpvorming ja -kord; isikuandmete kaitse alase mõjuhinnangu standardid ja kord; eelneva loa ja eelneva konsulteerimise vormid ja kord; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; andmete avaldamine juhtudel, kui liidu õigusaktidega ei ole see lubatud; vastastikune abi; ühisoperatsioonid; järjepidevuse mehhanismi raames tehtavad otsused rikkumise dokumenteerimine ; eelnev konsulteerimine ja järelevalveasutusele esitatav teave . [ME 93]

(132)

Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse ebapiisava taseme või järjepidevuse mehhanismi raames järelevalveasutustele edastatud küsimustega, peaks komisjon olukorra tungiva kiireloomulisuse korral vastu võtma viivitamata kohaldatavad rakendusaktid. [ME 94]

(133)

Kuna käesoleva määruse eesmärki, nimelt tagada terves ELis üksikisikute kaitse võrdne tase ja andmete vaba liikumine, ei suuda liikmesriigid piisavalt saavutada ning selle ulatuse ja toime tõttu on seda parem saavutada ELi tasandil, võib EL võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärgi saavutamiseks vajalikust kaugemale.

(134)

Direktiiv 95/46/EÜ tuleks tunnistada käesoleva määrusega kehtetuks. Direktiivi 95/46/EÜ alusel komisjoni vastu võetud otsused ja järelevalveasutuste antud load peaksid siiski jääma kehtima. Komisjoni otsused ja järelevalveasutuste antud load, mis on seotud isikuandmete edastamisega kolmandatele riikidele artikli 41 lõike 8 alusel, peaksid jääma kehtima viieaastaseks üleminekuperioodiks pärast käesoleva määruse jõustumist, välja arvatud juhul, kui komisjon neid enne selle ajavahemiku lõppu muudab, need asendab või need kehtetuks tunnistab. [ME 95]

(135)

Käesolevat määrust tuleks kohaldada kõigil isikuandmete töötlemise valdkonna põhiõiguste ja -vabaduste kaitsmisega seotud juhtudel, mille suhtes ei kohaldata sama eesmärgiga konkreetseid kohustusi, mis on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 2002/58/EÜ (12), sealhulgas vastutava töötleja kohustusi ja üksikisikute õigusi. Käesoleva määruse ja direktiivi 2002/58/EÜ seose täpsustamiseks tuleks direktiivi vastavalt muuta.

(136)

Islandi ja Norra puhul kujutab käesolev määrus endast Schengeni acquis’ sätete edasiarendamist selliselt, et acquis’d kohaldatakse acquis’d rakendavate ametiasutuste poolse isikuandmete töötlemise suhtes Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu (viimaste osalemiseks Schengeni acquis’ sätete rakendamises, kohaldamises ja edasiarendamises) (13) tähenduses.

(137)

Šveitsi puhul kujutab käesolev määrus endast Schengeni acquis’ sätete edasiarendamist selliselt, et acquis’d kohaldatakse acquis’d rakendavate ametiasutuste poolse isikuandmete töötlemise suhtes Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahel sõlmitud lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega) (14) tähenduses.

(138)

Liechtensteini puhul kujutab käesolev määrus endast Schengeni acquis’ sätete edasiarendamist selliselt, et acquis’d kohaldatakse acquis’d rakendavate ametiasutuste poolse isikuandmete töötlemise suhtes Liechtensteini Vürstiriigi ühinemist (Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega) käsitleva protokolli (15) tähenduses.

(139)

Arvestades asjaolu, mida on rõhutanud Euroopa Kohus, et isikuandmete kaitse õigus ei ole absoluutne õigus, vaid seda tuleb arvestada vastavalt selle ülesandele ühiskonnas ja tasakaalustada muude põhiõigustega, siis vastavalt proportsionaalsuse põhimõttele austatakse käesolevas määruses põhiõigusi ja peetakse kinni eelkõige hartaga tunnustatud põhimõtetest, mis on sätestatud aluslepingutes, ning milleks on eelkõige õigus era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, õigus oma isikuandmete kaitsele, mõtte-, südametunnistuse- ja usuvabadus, sõna- ja teabevabadus, ettevõtlusvabadus, õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuuriline, usuline ja keeleline mitmekesisus,

a)

isikuandmeid töödeldakse muu kui liidu õiguse reguleerimisalasse kuuluva tegevuse käigus, eriti seoses riigi julgeoleku tagamisega;

b)

isikuandmeid töötlevad liidu institutsioonid, organid ja asutused;

c)

liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub Euroopa Liidu lepingu V jaotise 2. peatüki reguleerimisalasse;

d)

isikuandmeid töötleb füüsiline isik üksnes isikliku või koduse tegevuse käigus. ilma tulutoova eesmärgita Seda erandit kohaldatakse samuti isikuandmete avaldamise suhtes, mille puhul võib mõistlikult eeldada, et nendele juurdepääs piirdub vähesel arvul isikutega ;

e)

isikuandmeid töötleb pädev avaliku sektori asutus kuritegude ennetamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täideviimiseks.

a)

liidu andmesubjektidele kaupade ja teenuste pakkumisega , sõltumata sellest, kas andmesubjekti makset on vaja, või

b)

nende kõnealuste andmesubjektide käitumise jälgimisega.

(1)

„andmesubjekt“ – füüsiline isik, kelle isikusamasus on tuvastatud või otseselt või kaudselt tuvastatav vahenditega, mida vastutav töötleja või mis tahes muu füüsiline või juriidiline isik tavaliselt kasutavad, nagu isikukood, asukohaandmed ja veebiidentifikaator, samuti üks või mitu isiku füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist ja sotsiaalset tunnust;

(2)

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („ andmesubjekti“) kohta; tuvastatav isik on selline isik, kelle isikusamasus on otseselt või kaudselt tuvastatav, näiteks viitega sellisele identifikaatorile nagu nimi, isikukood, asukohaandmed, kordumatu tunnus või üks või mitu isiku füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist ja sotsiaalset tunnust;

(2a)

„varjunimega tähistatud andmed“ – isikuandmed, mida ei saa seostada andmesubjektiga täiendavat teavet kasutamata, kui niisugust täiendavat teavet hoitakse eraldi ning selle suhtes kohaldatakse tehnilisi ja organisatsioonilisi meetmeid, et tagada selle teabe isikuga seostamatus;

(2b)

„krüptitud andmed“ – isikuandmed, mis on muudetud tehniliste kaitseabinõudega loetamatuks kõikidele juurdepääsuõiguseta isikutele;

(3)

„töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute teostamine, lugemine, kasutamine, üleandmine, levitamine ja muul moel kättesaadavaks tegemine, ühitamine või ühendamine, kustutamine ja hävitamine;

(3a)

„profiilianalüüs“ – igasugune isikuandmete automatiseeritud töötlemine eesmärgiga hinnata füüsilise isiku teatavaid personaalseid tahke või analüüsida või prognoosida eeskätt selle füüsilise isiku töötulemusi, majanduslikku olukorda, asukohta, tervist, isiklikke eelistusi, käitumist või usaldusväärsust;

(4)

„toimikusüsteem“ – isikuandmete korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsel või geograafilisel põhimõttel hajutatud;

(5)

„vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid, tingimused ja vahendid; kui töötlemise eesmärgid, tingimused ja vahendid on kindlaks määratud liidu või liikmesriikide õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

(6)

„volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes töötleb isikuandmeid vastutava töötleja nimel;

(7)

„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kellele andmed avaldatakse;

(7a)

„kolmas isik“ – füüsiline või juriidiline isik, riigiasutus, esindus või muu organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad andmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

(8)

„andmesubjekti nõusolek“ – vabatahtlik, konkreetne, teadlik ja selgelt väljendatud tahteavaldus, millega andmesubjekt kas avalduse vormis või nõusolekut väljendava tegevusega annab nõusoleku töödelda enda kohta käivaid isikuandmeid;

(9)

„isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamise avalikustamine või juurdepääs neile juurdepääsu;

(10)

„geneetilised andmed“ – isikuandmed, mis seonduvad isiku pärilike või kujunenud geneetiliste omadustega, kuivõrd need on saadud kõnealuse isiku bioloogilise proovi analüüsist, eelkõige kromosoom-, desoksüribonukleiinhappe (DNA) või ribonukleiinhappe (RNA) analüüsist või mis tahes liiki andmed isiku pärilike ja varajasel sünnieelsel arenguetapil kujunenud omaduste kohta muu elemendi analüüsist, mis võimaldab samaväärse teabe saamist ;

(11)

„biomeetrilised andmed“ – andmed isikuandmed isiku tuvastamist võimaldavate füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, näiteks näokujutis ja sõrmejäljeandmed;

(12)

„terviseandmed“ – teave isikuandmed , mis käsitleb käsitlevad isiku füüsilist ja vaimset tervist ning isikule tervishoiuteenuse osutamist;

(13)

„peamine tegevuskoht“ – kas vastutava töötleja või volitatud töötleja ettevõtte või kontserni selline asukoht liidus, kus tehakse peamised otsused isikuandmete töötlemise eesmärkide ja vahendite kohta . Muu hulgas võib arvesse võtta järgmisi objektiivseid kriteeriumeid: vastutava töötleja või kui otsuseid isikuandmete töötlemise eesmärkide, tingimuste ja vahendite kohta ei tehta liidus, siis volitatud töötleja peakorteri asukoht ; kontserni selle allüksuse asukoht , kes oma juhtimisfunktsioonide ja haldusülesannete tõttu kõige paremini sobib käesolevas määruses sätestatud eeskirjade jõustamisega tegelema; asukoht, liidus, kus vastutav töötleja oma tegevuse käigus peamiselt andmeid töötleb. Volitatud töötleja peamine tegevuskoht on tema juhtkonna asukoht liidus toimub tegelik ja tulemuslik juhtimistegevus, mis määrab stabiilse menetluskorra kaudu andmetöötluse ;

(14)

„esindaja“ – liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja on otseselt nimetanud ja kes tegutseb tema nimel ning kelle poole liidu järelevalveasutused ja muud organid võivad pöörduda esindab vastutavat töötlejat vastutava töötleja poole pöördumise asemel vastutava töötleja käesolevast määrusest tulenevate kohustuste küsimuses.;

(15)

„ettevõte“ – majandustegevusega tegelev mis tahes üksus olenemata selle õiguslikust vormist, sealhulgas füüsilised ja juriidilised isikud, partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

(16)

„kontsern“ – kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

(17)

„siduvad ettevõtluseeskirjad“ – liidu liikmesriigis asuva vastutava töötleja ja volitatud töötleja kehtestatud isikuandmete kaitse põhimõtted, millest ta lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus tegutsevale vastutavale või volitatud töötlejale;

(18)

„laps“ – alla 18aastane isik;

(19)

„järelevalveasutus“ – liikmesriigis vastavalt artiklile 46 asutatud avaliku sektori asutus. [ME 98]

a)

töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev (seaduslikkus, õiglus ja läbipaistvus) ;

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus (eesmärgi piiritlemine) ;

c)

isikuandmed on asjakohased, olulised ja neid on piisavalt, kuid mitte rohkem, kui on minimaalselt vaja töötlemise otstarbe seisukohalt, ning et neid töödeldakse ainult sel juhul ja seni, kuni isikuandmeteta teabe töötlemine ei võimalda saavutada seatud eesmärke (minimaalne andmehulk) ;

d)

isikuandmed on alati täpsed ja ajakohased vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohalt ebatäpsed isikuandmed kustutakse või parandatakse viivitamata (täpsus) ;

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte otseselt või kaudselt tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib pikemaajaliselt säilitada juhul, kui neid kavatsetakse töödelda üksnes ajaloo- ja statistikauurimuste ning teadustöö või arhiveerimise eesmärgil kooskõlas artiklis artiklites 83 ja 83 a sätestatud eeskirjade ja tingimustega ning kui korrapäraselt hinnatakse nende edasise säilitamise vajalikkust ning kui vajaduse korral on kehtestatud nõuetekohased tehnilised ja organisatsioonilised meetmed, et piirata andmetele juurdepääsu ainult kõnealustel eesmärkidel (minimaalne säilitamine) ;

ea)

isikuandmeid töödeldakse viisil, mis võimaldab andmesubjektil oma õigusi tõhusalt kasutada (tõhusus);

eb)

isikuandmeid töödeldakse viisil, mis kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustamise eest, kasutades nõuetekohaseid tehnilisi või organisatsioonilisi meetmeid (terviklus);

f)

isikuandmeid töödeldakse vastutava töötleja kohustuste raames ja vastutusel ning vastutav töötleja tagab ja tõendab, et töötlemistoimingud vastavad suudab tõendada käesolevale määrusele vastavust (vastutus) . [ME 99]

a)

andmesubjekt on andnud selgesõnalise nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

b)

töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

c)

töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;

d)

töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks;

e)

töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

f)

töötlemine on vajalik vastutava töötleja või avaldamise puhul selle kolmanda isiku, kellele andmed avaldatakse, õigustatud huvi korral, mis vastab andmesubjekti mõistlikele ootustele, mis põhinevad tema suhtel vastutava töötlejaga, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti, eriti lapse huvid, põhiõigused ja vabadused, mille nimel tuleb kaitsta isikuandmeid. Seda tingimust ei kohaldata, kui andmeid töötleb avaliku sektori asutus oma ülesannete täitmiseks.

a)

liidu õigusega või

b)

vastutava töötleja asukohaliikmesriigi õigusega.

a)

andmesubjekt on artiklites 7 ja 8 sätestatud tingimustel andnud nõusoleku neid isikuandmeid töödelda ühel või mitmel konkreetsel eesmärgil , välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada, või

aa)

töötlemine on vajalik sellise lepingu täitmiseks, mille osapool andmesubjekt on, või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

b)

töötlemine on vajalik seoses vastutava töötleja tööõigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega või kollektiivlepingutega , milles on sätestatud piisavad kaitsemeetmed andmesubjekti põhiõiguste ja huvide jaoks , näiteks õigus mittediskrimineerimisele, vastavalt artiklis 82 osutatud tingimustele ja kaitsemeetmetele , või

c)

töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma, või

d)

töötlemine toimub poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusühingu õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning kui töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning tingimusel et andmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta, või

e)

töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud, või

f)

töötlemine on vajalik õigusnõuete koostamiseks, esitamiseks ja kaitsmiseks või

g)

töötlemine on vajalik sellise suure avaliku huviga seotud ülesande täitmiseks, mis on ettenähtud liidu või liikmesriigi õiguses, mis on proportsionaalne saavutatava eesmärgiga, mis austab isikuandmete kaitse õiguse olemust ning milles on sätestatud asjakohased kaitsemeetmed andmesubjekti õigustatud huvi põhiõiguste ja huvide kaitsmiseks, või

h)

tervislikku seisundit käsitlevate andmete töötlemine on vajalik tervise kaitseks, kui artiklis 81 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või

i)

töötlemine on vajalik ajaloo- ja statistikauurimuste ning teadustöö eesmärgil, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või

ia)

töötlemine on vajalik arhiivide jaoks, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või

j)

halduskaristusi, kohtuotsuseid, kuritegusid, süüdimõistvaid kohtuotsuseid ja nendega seotud turvameetmeid käsitlevaid andmeid töödeldakse ametiasutuse järelevalve all või kui töötlemine on vajalik vastutava töötleja suhtes kohaldatavatest õigusaktidest tuleneva kohustuse või olulise avalike huvidega seotud ülesande täitmiseks niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega, milles on sätestatud piisavad kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitsmiseks . Süüdimõistvate kohtuotsuste täielikku registrit võib pidada ainult ametiasutuse järelevalve all.

a)

kas töötlemise iga erieesmärgi saavutamiseks kogutakse isikuandmeid minimaalsest vajalikust hulgast rohkem;

b)

kas töötlemise iga erieesmärgi saavutamiseks säilitatakse isikuandmeid minimaalsest vajalikust ajavahemikust kauem;

c)

kas isikuandmeid töödeldakse muudel eesmärkidel kui need eesmärgid, milleks neid koguti;

d)

kas isikuandmeid levitatakse äritegevusega seotud kolmandatele isikutele;

e)

kas isikuandmeid müüakse või renditakse välja;

f)

kas isikuandmeid säilitatakse krüptitud vormingus.

a)

esimeses veerus on graafilised kujutised, mis neid üksikasju sümboliseerivad;

b)

teine veerg sisaldab olulist teavet, mis kirjeldab neid üksikasju;

c)

kolmas veerg kujutab graafilisi sümboleid, mis näitavad, kas teatud tingimus on saavutatud.

a)

vastutava töötleja ning vajaduse korral töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)

töötlemise eesmärk, mille jaoks isikuandmeid kasutatakse, ja teave isikuandmete töötlemise turvalisuse kohta, sealhulgas lepingu- ja üldtingimused, kui töötlemine põhineb artikli 6 lõike 1 punktil b, ning vastutava töötleja õigustatud huvi, kui töötlemine põhineb vajaduse korral teave selle kohta, kuidas rakendatakse artikli 6 lõike 1 punktil punktis f  osutatud nõudeid ja neid järgitakse ;

c)

isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, sellise tähtaja määramise kriteeriumid ;

d)

andmesubjekti õigus taotleda vastutavalt töötlejalt juurdepääsu oma isikuandmetele ning nende parandamist või kustutamist, ning vaidlustada oma isikuandmete töötlemist või andmeid saada ;

e)

andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

f)

isikuandmete vastuvõtjad või vastuvõtjate liigid;

g)

vajaduse korral selle, et vastutav töötleja kavatseb edastada isikuandmed andmed kolmandasse riiki või rahvusvahelisele organisatsioonile, ning isikuandmete kaitse taseme kolmandas riigis või rahvusvahelises organisatsioonis, osutades piisavat kaitset käsitlevale käsitleva komisjoni otsusele otsuse olemasolu või puudumise, või artiklites 42 või 43 osutatud edastamise korral viite asjakohastele kaitsemeetmetele ja nende koopia saamise viisile ;

ga)

vajaduse korral teave profiilianalüüsi olemasolu, profiilianalüüsil põhinevate meetmete ja profiilianalüüsi kavandatava mõju kohta andmesubjektile;

gb)

oluline teave igasuguses automatiseeritud töötlemises aluseks oleva loogika kohta;

h)

muu teave, mis on vajalik andmesubjekti õigusi arvestava andmetöötluse tagamiseks, võttes arvesse isikuandmete kogumise või töötlemise konkreetset olukorda , eelkõige teatavate töötlemistoimingute olemasolu, mis võivad isikuandmete mõju hinnangu kohaselt olla suure riskiga;

ha)

vajaduse korral teave selle kohta, kas isikuandmeid anti viimase järjestikuse 12kuulise ajavahemiku jooksul avaliku sektori asutustele.

a)

andmesubjektilt andmete saamise ajal või , kui eelnev ei ole teostatav, põhjendamatu viivituseta või

aa)

artiklis 73 osutatud asutuse, organisatsiooni või ühenduse taotlusel;

b)

kui isikuandmed ei ole kogutud andmesubjektilt, siis andmete salvestamise ajal või mõistliku aja jooksul pärast nende kogumist, võttes arvesse andmete kogumise või muul viisil töötlemise konkreetset olukorda ning seda, kas andmeid kavatsetakse avaldada edastada mõnele teisele vastuvõtjale, kuid hiljemalt andmete esmakordse avalikustamise edastamise ajal või kui andmeid kasutatakse teabevahetuseks asjaomase andmesubjektiga, hiljemalt esimese teabevahetuse ajaks selle andmesubjektiga, või

ba)

ainult taotluse korral, kui andmeid töötleb selline väike- või mikroettevõte, kes töötleb isikuandmeid üksnes kõrvaltegevusena.

a)

andmesubjekt on juba saanud lõigetes 1, 2 ja 3 osutatud teabe või

b)

andmeid töödeldakse ajaloo- või statistikauurimuste või teadustöö eesmärgil, mille suhtes kohaldatakse artiklis 81 ja 83 osutatud tingimusi ja kaitsemeetmeid, andmed ei ole kogutud andmesubjektilt ja sellise teabe esitamine on võimatu või nõuab ülemääraseid jõupingutusi ning vastutav töötleja on avaldanud teabe, mis on kõigile kättesaadav või

c)

andmed ei ole kogutud andmesubjektilt ja selliste andmete salvestamine või avalikustamine on õigusaktides selgelt sätestatud vastutava töötleja suhtes kohaldatavates õigusaktides, millega nähakse ette asjakohased meetmed andmesubjekti õiguspäraste huvide kaitsmiseks, arvestades töötlemisega seotud riske ja isikuandmete iseloomu, või

d)

andmed ei ole kogutud andmesubjektilt ja sellise teabe esitamine kahjustaks vastavalt artiklile 21 liidu õiguses ja liikmesriikide õiguses sätestatud teiste füüsiliste isikute õigusi ja vabadusi.

da)

andmeid töötleb isik või nad usaldatakse või saavad teatavaks isikule, kellel on liidu või liikmesriigi õigusega reguleeritav ametisaladuse hoidmise kohustus või õigusaktidega sätestatud saladuse hoidmise kohustus, välja arvatud juhul, kui andmeid kogutakse andmesubjektilt endalt.

a)

töötlemise eesmärk, iga isikuandmete liigi puhul;

b)

töödeldavate isikuandmete liigid;

c)

millistele või mis liiki vastuvõtjatele isikuandmeid avalikustatakse või on avalikustatud, eelkõige sealhulgas teave kolmandates riikides olevate vastuvõtjate kohta;

d)

isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, sellise tähtaja määramise kriteeriumid ;

e)

andmesubjekti õigus taotleda vastutavalt töötlejalt oma isikuandmete parandamist või kustutamist, ning vaidlustada oma isikuandmete töötlemine;

f)

andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

g)

teave töödeldavate isikuandmete kohta ja olemasoleva teave andmete allika kohta;

h)

vähemalt artiklis 20 osutatud meetmete puhul töötlemise tähtsus ja ettenähtavad tagajärjed.

ha)

oluline teave igasuguses automatiseeritud töötlemises aluseks oleva loogika kohta;

hb)

kui avaliku sektori asutusele avaldatakse isikuandmeid avaliku sektori asutuse taotluse tagajärjel, kinnitus asjaolu kohta, et selline taotlus on esitatud, ilma et see piiraks artikli 21 kohaldamist.

a)

andmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

b)

andmesubjekt tühistab töötlemiseks antud nõusoleku vastavalt artikli 6 lõike 1 punktile a või kui nõusolekukohane andmete talletamise tähtaeg lõppenud ning puudub muu õiguslik alus andmete töötlemiseks;

c)

andmesubjekt vaidlustab isikuandmete töötlemise artikli 19 kohaselt;

ca)

Euroopa Liidus asuva kohtu või reguleeriva asutuse lõpliku otsuse kohaselt tuleb asjaomased andmed kustutada;

d)

andmete töötlemine ei vasta käesolevale määrusele muudel põhjustel andmeid on töödeldud ebaseaduslikult .

a)

sõnavabaduse õiguse teostamiseks vastavalt artiklile 80;

b)

avaliku huvi kaitsmiseks tervishoiu valdkonnas vastavalt artiklile 81;

c)

ajaloo- ja statistikauurimuste ning teadustöö jaoks vastavalt artiklile 83;

d)

vastavalt liidu või liikmesriigi õigusest tulenevale vastutava töötleja kohustusele säilitada isikuandmeid, liikmesriigi õigusaktid peavad lähtuma avaliku huvi kaitsmise eesmärgist, isikuandmete kaitse õiguse sisu austamisest, ning olema proportsionaalsed taotletava õiguspärase eesmärgiga;

e)

lõikes 4 osutatud juhtudel.

a)

andmesubjekt seab kahtluse alla nende täpsuse; täpsemalt piiratakse siis andmete töötlemine nii kauaks, kuni vastutav töötleja on kontrollinud nende täpsust;

b)

vastutav töötleja ei vaja enam isikuandmeid oma ülesande täitmiseks, kuid andmeid tuleb säilitada tõendamise eesmärgil;

c)

töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle nende kustutamist, vaid nende kasutamise piiramist;

ca)

Euroopa Liidus asuva kohtu või reguleeriva asutuse lõpliku otsuse kohaselt tuleb asjaomaste andmete töötlemist piirata;

d)

andmesubjekt taotleb oma isikuandmete edastamist teise automatiseeritud töötlemise süsteemi vastavalt artikli 18 15 lõikele 2. a;

da)

konkreetne säilitamistehnoloogia ei võimalda kustutamist ja oli installeeritud enne käesoleva määruse jõustumist.

a)

kriteeriume ja tingimusi, millest lähtutakse lõike 1 kohaldamisel eri sektorites ja andmetöötlusolukordades;

b)

lõikes 2 osutatud üldkasutatavate kommunikatsiooniteenuste käsutuses olevatele isuandmetele osutavate linkide ning andmekoopiate ja -korduste kustutamise tingimused;

c)

lõikes 4 osutatud isikuandmete töötlemise piiramise tingimused. [ME 112]

a)

toimub on vajalik lepingu sõlmimise või täitmise ajal sõlmimiseks või täitmiseks pärast seda, kui on rahuldatud andmesubjekti taotlus leping sõlmida või asuda seda täitma , tingimusel et või kui andmesubjekti õigustatud huvi kaitsmiseks on võetud asjakohased meetmed, näiteks tänu õigusele otsesele isiklikule kontaktile, või

b)

on selgesõnaliselt lubatud liidu või liikmesriigi õigusega, milles on sätestatud ka meetmed andmesubjekti õigustatud huvi kaitsmiseks, või

c)

põhineb andmesubjekti nõusolekul, kui on täidetud artiklis 7 sätestatud tingimused ja võetud sobivad kaitsemeetmed.

a)

avalik julgeolek,

b)

kuritegude ennetamine, uurimine, avastamine ja kuritegude eest vastutuselevõtmine;

c)

liidu ja liikmesriigi muude avalike huvide kaitsmine, eelkõige liidu ja liikmesriigi olulised majanduslikud ja finantshuvid, sealhulgas rahandus-, eelarve- ja maksuküsimused ning turu stabiilsuse ja tervikluse kaitse;

d)

reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutuselevõtmine;

e)

jälgimine, kontrollimine ja regulatiivsete ülesannete täitmine, mis on kas või ajutiselt seotud pädeva avaliku võimu teostamisega sektori asutuse tegevuse raames punktides a, b, c ja d osutatud juhtudel;

f)

andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse.

a)

töötlemise eesmärgid;

b)

vastutava töötleja kindlaksmääramise viis;

c)

töötlemise konkreetsed eesmärgid ja vahendid;

d)

kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist vältivad kaitsemeetmed;

e)

andmesubjektide õigus olla piirangutest teavitatud.

(a)

dokumenteerimine vastavalt artiklile 28;

(b)

artiklis 30 sätestatud andmeturbenõuete rakendamine;

(c)

isikuandmete kaitsele avaldatava mõju hindamine vastavalt artiklile 33;

(d)

artikli 34 lõigete 1 ja 2 kohase eelneva loa taotlemise ja järelevalveasutusega eelneva konsulteerimise nõude täitmine;

(e)

andmekaitseametniku määramine vastavalt artikli 35 lõikele 1.

a)

asub kolmandas riigis, kus komisjoni otsuse kohaselt on tagatud isikuandmete piisav kaitse vastavalt artiklile 41, või

b)

on vastutav töötleja, kes töötleb igal järjestikusel 12-kuulisel ajavahemikul vähem kui 250 töötajaga ettevõte 5 000 andmesubjekti andmeid ning kes ei töötle artikli 9 lõikes 1 osutatud isikuandmete eriliike, asukohaandmeid või laste ja töötajate isikuandmeid suurtes toimikusüsteemides; või

c)

on avaliku sektori asutus või organ või

d)

pakub liidu andmesubjektidele kaupu ja teenuseid ainult juhuti. , välja arvatud juhul, kui isikuandmete töötlemine puudutab artikli 9 lõikes 1 osutatud isikuandmete eriliike, asukohaandmeid või laste ja töötajate isikuandmeid suurtes toimikusüsteemides;

a)

tegutseb töötleb isikuandmeid ainult vastavalt vastutava töötleja töötaja juhtnööridele, eelkõige juhul, kui isikuandmete edastamine on keelatud kui liidu ja liikmesriikide õigusaktides ei ole sätestatud teisiti ;

b)

kasutab üksnes selliseid töötajaid, kes on tõotanud järgida konfidentsiaalsusnõuet või kelle suhtes kehtib õigusaktides sätestatud konfidentsiaalsusnõue;

c)

võtab kõik vajalikud meetmed vastavalt artiklile 30;

d)

kaasab teisi töötlejaid määrab tingimused teise töötleja kaasamiseks ainult vastutava töötleja eelneval loal , juhul kui ei ole teisiti sätestatud ;

e)

määrab koos vastutava töötlejaga võimaluse piires ja vastavalt töötlemise laadile kindlaks nõuete- ja asjakohased tehnilised ja organisatsioonilised nõuded, mille kohaselt täidetakse vastutava töötleja kohustust vastata III peatükis sätestatud taotlustele andmesubjektide õiguste teostamiseks;

f)

aitab vastutaval töötlejal täita artiklites 30–34 sätestatud kohustusi , võttes arvesse töötlemise laadi ja töötlejale kättesaadavat teavet ;

g)

annab tagastab töötlemise tulemused pärast töötlemist üle vastutavale töötlejale , ei ega töötle isikuandmeid muul eesmärgil ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriikide õigusaktidega nõutakse andmete säilitamist ;

h)

teeb vastutavale töötlejale ja järelevalveasutusele kättesaadavaks kogu teabe, mille alusel saab kontrollida tõendada käesolevas artiklis sätestatud kohustuste täitmist. , ja võimaldab kohapealset kontrolli;

a)

vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ning vajaduse korral esindaja nimi ja kontaktandmed;

b)

vajaduse korral andmekaitseametniku nimi ja kontaktandmed;

c)

töötlemise eesmärgid, sealhulgas vastutava töötleja õigustatud huvi, kui töötlemine põhineb artikli 6 lõike 1 punktil f;

d)

andmesubjektide kategooria ja nendega seotud isikuandmete liik;

e)

andmete vastuvõtja või vastuvõtjate kategooria, sealhulgas vastutavad töötlejad vajaduse korral nende vastutavate töötlejate nimi ja kontaktandmed , kellele isikuandmed avalikustatakse vastavalt nende õigustatud huvile;

f)

kui andmeid edastatakse kolmandasse riiki või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist artikli 44 lõike 1 punktis h osutatud edastamisega, siis kaitsemeetmete kohta koostatud dokumendid;

g)

üldine teave eri andmeliikide kustutamise tähtaja kohta;

h)

artikli 22 lõkkes 3 osutatud mehhanismide kirjeldus.

a)

isikuandmeid töötleb ärihuvita füüsiline isik;

b)

töötleja on vähem kui 250 töötajaga ettevõte või organisatsioon, kes töötleb isikuandmeid üksnes kõrvaltegevusena.

a)

võime tagada, et isikuandmete terviklus on valideeritud;

b)

võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

c)

võime taastada õigeaegselt andmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral, mis mõjutab infosüsteemide ja -teenuste kättesaadavust, terviklust ja konfidentsiaalsust;

d)

tundlike isikuandmete töötlemise korral vastavalt artiklitele 8 ja 9 lisaturvameetmed, et tagada ülevaade olukorra ohtudest ja võime võtta peaaegu reaalajas ennetus-, parandus- ja leevendusmeetmeid tuvastatud nõrkuste või vahejuhtude puhul, mis võiksid endast andmetele ohtu kujutada;

e)

kehtiva andmeturbe alase poliitika, korra ja kavade tõhususe korrapärase testimise ja hindamise menetlus kestva tõhususe tagamiseks.

a)

tagada, et isikuandmetele oleks juurdepääs üksnes volitatud töötajatel seaduslikult lubatud eesmärkidel;

b)

kaitsta salvestatud või edastatud isikuandmeid juhusliku või ebaseadusliku hävimise, juhusliku kadumise või muutmise ja loata või ebaseadusliku säilitamise, töötlemise, juurdepääsu või avalikustamise eest; ning

c)

tagada isikuandmete töötlemise turvapoliitika rakendamine.

a)

vältida loata juurdepääsu isikuandmetele;

b)

vältida isikuandmete loata avalikustamist, lugemist, kopeerimist, muutmist, kustutamist ja eemaldamist;

c)

tagada töötlemistoimingute õiguspärasuse kontrollimine.

a)

kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada asjaomaste andmesubjektide kategooriad ja arv ning isikuandmete liigid ja arv;

b)

teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

c)

kirjeldada soovitatavaid meetmeid, mis võimaldavad leevendada isikuandmetega seotud rikkumise võimalikku negatiivset mõju;

d)

kirjeldada isikuandmetega seotud rikkumise tagajärgi;

e)

kirjeldada vastutava töötleja kavandatud või võetud meetmeid isikuandmetega seotud rikkumise lahendamiseks ning leevendada selle tagajärgi .

a)

rohkem kui 5 000 andmesubjekti andmete töötlemine iga järjestikuse 12-kuulise ajavahemiku jooksul;

b)

artikli 9 lõikes 1 viidatud isikuandmete andmete erikategooriate, asukohaandmete või laste ja töötajate isikuandmete töötlemine suurtes toimikusüsteemides;

c)

profiilianalüüs, millel põhinevad andmesubjekti jaoks õiguslike tagajärgedega või teda samaväärselt oluliselt mõjutavad meetmed;

d)

tervishoiuteenuse osutamiseks vajaliku teabe töötlemine ning epidemioloogilised, vaimu- ja nakkushaiguste uuringud, kui andmete töötlemise eesmärk on võtta meetmeid või teha otsuseid, mis käsitlevad paljusid üksikisikuid;

e)

avalike alade ulatuslik automatiseeritud jälgimine:

f)

muud töötlemistoimingud, mille puhul tuleb nõu pidada andmekaitseametniku või järelevalveasutusega vastavalt artikli 34 lõike 2 punktile b;

g)

kui isikuandmetega seotud rikkumine võib rikkuda andmesubjekti isikuandmete, tema eraelu, õiguste või õigustatud huvide kaitset;

h)

vastutava töötleja või volitatud töötleja põhitegevuse moodustavad töötlemistoimingud, mille laad, ulatus ja/või eesmärk tingivad andmesubjektide korrapärase ja süstemaatilise järelevalve.

i)

kui isikuandmed tehakse kättesaadavaks mitmetele isikutele, kelle arvu piiramist ei ole võimalik mõistlikult eeldada.

a)

juhul kui viiakse läbi mõnda lõike 2 punktides a või b osutatud töötlemistoimingut, määravad vastutavad töötleja, kes ei ole asutatud ELis, omale esindaja liidus vastavalt artiklis 25 kehtestatud nõuetele ja eranditele;

b)

juhul kui viiakse läbi mõnda lõike 2 punktides a või b või h osutatud töötlemistoimingut, määrab vastutav töötleja andmekaitseametniku vastavalt artiklis 35 kehtestatud nõuetele ja eranditele;

c)

juhul kui viiakse läbi mõnda lõike 2 punktides a, b, c, d, e, f, g või h osutatud töötlemistoimingut, viib vastutav töötleja või tema nimel tegutsev volitatud töötleja läbi isikuandmete kaitsele avaldatava mõju hindamise vastavalt artiklile 33.

d)

juhul kui viiakse läbi lõike 2 punktis f osutatud töötlemistoiminguid, konsulteerib vastutav töötleja andmekaitseametnikuga või juhul kui andmekaitseametnikku ei ole määratud, artikli 34 kohaselt järelevalveasutusega.

a)

automatiseeritud andmetöötlusel põhinev füüsilise isiku süstemaatiline ja põhjalik analüüsimine, et hinnata või prognoosida füüsilise isiku majanduslikku olukorda, asukohta, tervist, eelistusi, usaldusväärsust ja käitumist eesmärgiga teha andmesubjekti jaoks õiguslike tagajärgedega või teda oluliselt mõjutavaid otsuseid;

b)

seksuaalelu, tervislikku seisundit, rassilist ja etnilist päritolu käsitleva või tervishoiuteenuse osutamiseks vajaliku teabe töötlemine ning epidemioloogilised, vaimu- ja nakkushaiguste uuringud, kui andmete töötlemise eesmärk on võtta meetmeid või teha otsuseid, mis käsitlevad paljusid üksikisikuid;

c)

avalike alade ulatuslik jälgimine eeskätt elektrooniliste optikaseadmetega (videojärelevalveseadmetega);

d)

laste isikuandmete ning geneetiliste ja biomeetriliste isikuandmete töötlemine suurtes toimikusüsteemides;

e)

muud töötlemistoimingud, mille puhul tuleb nõu pidada järelevalveasutusega vastavalt artikli 34 lõike 2 punktile b;

a)

kavandatud töötlemistoimingute, töötlemise eesmärkide ja asjakohasel juhulvastutava töötleja õigustatud huvide süstemaatiline kirjeldus;

b)

kavandatud töötlemistoimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)

andmesubjektide õigusi ja vabadusi ähvardavate ohtude hindamine, sealhulgas toimingus sisalduv või selle tulemusena suurenev diskrimineerimisoht;

d)

ohtude kõrvaldamiseks ja töödeldavate isikuandmete mahu minimeerimiseks kavandatud meetmete kirjeldus;

e)

loetelu tagatistest, isikuandmete kaitseks ja käesoleva määruse järgimise tõendamiseks võetavatest turvameetmest ja rakendatavatest mehhanismidest, näiteks pseudonüümide kasutamine, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huvi;

f)

üldine teave eri andmeliikide kustutamise tähtaegade kohta;

g)

selgitus, millist isikuandmete lõimitud kaitset ja vaikimisi kaitset on rakendatud;

h)

loetelu isikuandmete vastuvõtjatest või vastuvõtjate liikidest;

i)

asjakohasel juhul nimekiri andmete kavandatavatest edastamistest kolmandale riigile või rahvusvahelisele organisatsioonile koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega;

j)

andmetöötluse konteksti hindamine.

a)

artiklis 33 sätestatud isikuandmete kaitse mõjuhinnangu kohaselt kujutavad töötlemistoimingud oma laadi, ulatuse ja eesmärkide tõttu endast konkreetset ja märkimisväärset ohtu või

b)

andmekaitseametnik või järelevalveasutus peab vajalikuks eelnevalt konsulteerida selliste lõike 4 kohaselt kindlaksmääratud töötlemistoimingute küsimuses, mis oma olemuse, ulatuse ja/või eesmärgi tõttu võivad tõenäoliselt ohustada andmesubjektide õigusi ja vabadusi.

a)

töötleja on avaliku sektori asutus või organ või

b)

töötleja on vähemalt 250 töötajaga ettevõte juriidiline isik ja töötlemine seondub enam kui 5 000 andmesubjektiga igal järjestikusel 12-kuulisel ajavahemikul; või

c)

vastutava töötleja või volitatud töötleja põhitegevuse moodustavad töötlemistoimingud, mille laad, ulatus ja/või eesmärk tingivad andmesubjektide korrapärase ja süstemaatilise järelevalve. ; või

d)

vastutava töötleja või volitatud töötleja põhitegevus on artikli 9 lõikes 1 osutatud andmete erikategooriate, asukohaandmete või laste ja töötajate isikuandmete töötlemine suurtes toimikusüsteemides.

a)

suurendada teadlikkust, teavitada ja nõustada vastutavat töötlejat ja volitatud töötlejat seoses nende kohustustega, mis tulenevad käesolevast määrusest, eelkõige seoses tehniliste ja organisatsiooniliste meetmete ja korraga, ning oma tegevus ja saadud vastused dokumenteerida;

b)

jälgida vastutava töötleja ja volitatud töötleja isikuandmete kaitse põhimõtete rakendamist ja kohaldamist, sealhulgas ülesannete jaotamist, isikuandmete töötlemises osaleva personali koolitamist ja nendega seotud auditeerimist;

c)

jälgida käesoleva määruse, eelkõige isikuandmete lõimitud ja vaikimisi kaitse, andmeturbe, andmesubjektide teavitamise ning andmesubjektide poolt nende käesolevast määrusest tulenevate õiguste kasutamiseks esitatavate taotluste kohta kehtestatud nõuete rakendamist ja kohaldamist;

d)

tagada artiklis 28 osutatud dokumenteerimine;

e)

jälgida isikuandmetega seotud rikkumiste dokumenteerimist ning neist teavitamist vastavalt artiklitele 31 ja 32;

f)

jälgida isikuandmete kaitsele avaldatava mõju hinnangu koostamist vastutava töötleja ja volitatud töötleja poolt ning eelneva loa taotlemist ja eelneva konsulteerimise kohaldamist, kui seda nõutakse vastavalt artiklitele 32a, 33 ja 34;

g)

jälgida järelevalveasutuse taotlustele vastamist ja oma pädevuse piires ka temaga koostöö tegemist vastavalt järelevalveasutuse taotlusele või andmekaitseametniku omal algatusel;

h)

tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse kontaktisikuna ja vajaduse korral konsulteerida järelevalveasutusega omal algatusel;

i)

kontrollida vastavust käesolevale määrusele artiklis 34 sätestatud eelneva konsulteerimise mehhanismi raames;

j)

teavitada töövõtjate esindajaid töövõtjate andmete töötlemisest.

a)

andmete õiglane ja läbipaistev töötlemine;

aa)

tarbijaõiguste järgimine;

b)

andmete kogumine;

c)

üldsuse ja andmesubjektide teavitamine;

d)

andmesubjektide taotlused kasutada oma õigusi;

e)

laste teavitamine ja kaitsmine;

f)

andmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele;

g)

vastutavate töötlejate järelevalve mehhanismid ja vastutavate töötlejate poolt toimimisjuhendi rakendamise tagamine;

h)

vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 73 ja 75.

a)

õigusriigi põhimõte, nii üldised kui ka konkreetse sektori kehtivad asjaomased õigusaktid, sealhulgas avaliku korra, riigikaitse, riigi julgeoleku ja kriminaalõigusega ning käesoleva õigusakti rakendamisega seotud õigusaktid, kõnealuses riigis või rahvusvahelises organisatsioonis järgitavad ametieeskirjad ja turvameetmed ning kohtupraktikast tulevad nõuded samuti kehtivad ja kohtulikult kaitstavad õigused, sealhulgas andmesubjektide halduslikud ja õiguskaitsevahendid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse;

b)

kõnealuses kolmandas riigis või rahvusvahelises organisatsioonis ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine, kes vastutab isikuandmete kaitse eeskirjade järgimise , kaasa arvatud piisavate karistuste kohaldamise õiguste eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liidu ja liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

c)

kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused , eelkõige isikuandmete kaitsega seotud õiguslikult siduvad konventsioonid või vahendid .

a)

siduvatele ettevõtluseeskirjadele vastavalt artiklile 43 või

aa)

vastavalt artikli 39 lõikele 1 e vastutava töötleja või volitatud töötleja kehtivale märgisele „Euroopa isikuandmete kaitse pitser“ või

b)

isikuandmete kaitse standardklauslitele, mille on vastu võtnud komisjon. Kõnealused rakendusaktid võetakse vastu artikli 87 lõikes 2 osutatud kontrollimenetluse kohaselt või

c)

isikuandmete kaitse standardklauslitele, mille on vastu võtnud järelevalveasutus vastavalt artiklis 57 osutatud järjepidevuse mehhanismile pärast seda, kui komisjon on need artikli 62 lõike 1 punkti b kohaselt tunnistanud üldkehtivaks või

d)

vastutava töötleja või volitatud töötleja ja järelevalveasutuse poolt vastavalt lõikele 4 volitatud andmesaaja vahelistele lepingutingimustele.

a)

on õiguslikult siduvad ja neid kohaldatakse vastutava töötleja või volitatud töötleja ettevõtjate rühma kontserni iga liikme ja nende väliste alltöövõtjate suhtes , kes kuuluvad siduvate kontsernisiseste eeskirjade reguleerimisalasse, sealhulgas nende töötajate suhtes ning kõik täidavad neid;

b)

sõnaselgelt annavad andmesubjektidele kohtulikult kaitstavad õigused;

c)

vastavad lõikes 2 sätestatud nõuetele.

a)

ettevõtjate rühma kontserni ja selle liikmete struktuur ja kontaktandmed ning nende välised alltöövõtjad, kes kuuluvad siduvate kontsernisiseste eeskirjade reguleerimisalasse ;

b)

edastamine või edastamistoimingute kogumid, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektid ning kõnealuse kolmanda riigi või riikide andmed;

c)

nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

d)

üldised isikuandmete kaitse põhimõtted, eelkõige eesmärgi piiritlemine, minimaalne andmehulk, piiratud säilitamisaeg, andmete kvaliteet, isikuandmete vaikimisi kaitse ja lõimitud kaitse, töötlemise õiguslik alus, tundlike isikuandmete töötlemine; andmeturbe tagamise meetmed; andmete edasine edastamine organisatsioonidele, kelle suhtes need eeskirjad ei ole siduvad;

e)

andmesubjektide õigused ja nende õiguste kasutamise vahendid, kaasa arvatud õigus mitte alluda artikli 20 kohasele profiilianalüüsil põhinevale meetmele, õigus esitada artikli 75 kohane kaebus pädevale järelevalveasutusele ja pädevale kohtule liikmesriigis ning siduvate ettevõtluseeskirjade rikkumise korral taotleda kahju hüvitamist ja vajaduse korral kompensatsiooni;

f)

liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate ettevõtluseeskirjade rikkumise korral, kui selle paneb toime ettevõtjate rühma liige, kes ei asu Euroopa Liidus. Vastutava töötleja või volitatud töötleja võib kõnealusest vastutusest täielikult või osaliselt vabastada vaid siis, kui ta tõestab, et liige ei ole kahju tekitamise eest vastutav;

g)

kuidas kooskõlas artikliga 11 edastatakse andmesubjektidele siduvate ettevõtluseeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta teavet;

h)

kooskõlas artikliga 35 ametisse nimetatud andmekaitseametniku ülesanded, sealhulgas ettevõtjate rühmas kontsernis järelevalve teostamine siduvate ettevõtluseeskirjade täitmise ning samuti koolitamise ja kaebuste käsitlemise üle;

i)

ettevõtjate rühma kontserni sisemehhanismid, mille eesmärk on tagada siduvate ettevõtluseeskirjade täitmise kontrollimine;

j)

mehhanismid poliitikamuudatuste registreerimiseks ning järelevalveasutuse teavitamiseks nendest muudatustest;

k)

mehhanism koostööks järelevalveasutusega, et tagada ettevõtjate rühma kontserni liikme nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks käesoleva lõike punktis i osutatud meetmete kontrollimise tulemused.

a)

andmesubjekt on edastamiseks andnud nõusoleku pärast seda, kui teda teavitati sellise edastamise riskidest, mis tulenevad piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest, või

b)

edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks või

c)

edastamine on vajalik vastutava töötleja või muu füüsilise või juriidilise isiku vahelise lepingu sõlmimiseks andmesubjekti huvides või selle täitmiseks või

d)

edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel või

e)

edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või